Visualisation de l’activité proxy malveillante de curl dans CrowdStrike avec Uncoder AI

[post-views]
mai 02, 2025 · 3 min de lecture
Visualisation de l’activité proxy malveillante de curl dans CrowdStrike avec Uncoder AI

Les adversaires réutilisent fréquemment des outils de confiance comme curl.exe pour faire passer le trafic à travers des proxies SOCKS et même atteindre .onion domaines. Que ce soit pour l’exfiltration de données ou la communication de commandement et de contrôle, une telle activité passe souvent inaperçue, sauf si vous la détectez explicitement.

C’est exactement ce que le langage de requête de sécurité des terminaux CrowdStrike permet aux équipes de faire. Mais lorsque la logique devient dense, les ingénieurs de détection et les analystes SOC bénéficient de l’arbre de décision généré par l’IA d’Uncoder AI, qui expose chaque branche de la règle dans un format clair et visuel.

Explorez Uncoder AI

Objectif de détection : curl.exe + Indicateurs de proxy TOR

La règle de détection CrowdStrike surveille :

  • L’exécution du processus de curl.exe, vérifié via ImageFileName and ApplicationName champs
  • Arguments de proxy SOCKS, tels que socks5h://, socks5://, ou socks4a:// in:
    • La ligne de commande
    • L’historique des commandes
  • Accès aux domaines .onion, indiquant une communication sur le dark web

Cette requête multifacette utilise les arguments de la ligne de commande et historiques pour assurer une visibilité complète sur la façon dont curl.exe est exploitée.

Entrée que nous avons utilisée (cliquez pour afficher le texte)

((ImageFileName=/\curl.exe$/i ou ApplicationName=/\curl.exe$/i) ((CommandLine=/socks5h:///i ou CommandLine=/socks5:///i ou CommandLine=/socks4a:///i) ou (CommandHistory=/socks5h:///i ou CommandHistory=/socks5:///i ou CommandHistory=/socks4a:///i)) (CommandLine=/.onion/i ou CommandHistory=/.onion/i))

Ce que l’arbre de décision IA a révélé

Uncoder AI a décomposé cela en une séquence claire de conditions logiques :

  1. Correspondance initiale du processus
    • ImageFileName or ApplicationName doit se terminer par curl.exe (insensible à la casse)
  2. Preuve d’utilisation de proxy SOCKS
    • Détecté via CommandLine or CommandHistory correspondant aux motifs SOCKS (socks5h, socks5, socks4a)
  3. Détection de trafic .onion
    • Détecté à nouveau dans les deux CommandLine and CommandHistory

La structure de l’arbre sépare également AND la logique des OR évaluations internes :

  • Vous ne déclenchez une alerte que lorsque les trois branches sont satisfaites : correspondance du processus, utilisation du proxy et référence de domaine .onion.

Valeur réelle

Avec cet arbre décisionnel, les défenseurs peuvent instantanément interpréter ce que cette détection cible and why:

  • Identifier les portes dérobées comme Kalambur ou d’autres implants utilisant curl.exe pour interagir avec des services cachés.
  • Surveiller les abus de proxies et couches d’anonymisation qui peuvent être utilisés pour contourner les défenses périmétriques.

Identifier l’activité post-exploitation qui tente de se fondre dans le comportement légitime de l’administrateur.

Du Regex à la logique lisible

Ce qui ressemblait autrefois à des regex denses de CrowdStrike et des conditions imbriquées est désormais visuellement transparent, grâce à Uncoder AI. Cela permet :

  • Une analyse plus rapide des alertes basées sur curl
  • Un réglage et une validation plus faciles des règles de détection
  • Une transmission plus accessible entre les chasseurs de menaces et les répondants aux incidents

Explorez Uncoder AI

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes