Esposizione di Script Sospetti tramite CrushFTP con Uncoder AI in Microsoft Defender

[post-views]
Maggio 01, 2025 · 3 min di lettura
Esposizione di Script Sospetti tramite CrushFTP con Uncoder AI in Microsoft Defender

I servizi di trasferimento file come CrushFTP sono fondamentali per le operazioni aziendali, ma possono anche essere utilizzati come piattaforme di lancio furtive per attività post-sfruttamento. Quando un processo del server come crushftpservice.exe genera interpreti da riga di comando come powershell.exe , cmd.exe , o bash.exe , potrebbe segnalare che un attaccante sta eseguendo comandi o distribuendo payload sotto radar.

In Microsoft Defender per Endpoint, tali attività possono essere catturate utilizzando il Kusto Query Language (KQL). Ma analizzare la logica delle regole richiede tempo, soprattutto quando sono coinvolti più percorsi di processo e modelli di esecuzione.

Con il Riepilogo Breve di Uncoder AI, gli analisti non devono più interpretare manualmente ogni condizione. Ricevono invece una spiegazione chiara e immediata.

Uncoder AI accelera l'analisi KQL per l'attività sospetta di CrushFTP

Esposizione di Scripting Sospetto tramite CrushFTP con Uncoder AI in Microsoft Defender

Esplora Uncoder AI

Panoramica della Logica di Rilevamento

La regola di rilevamento KQL si attiva quando:

  • Un processo (DeviceProcessEvent) viene avviato in cui il percorso della cartella del processo iniziale termina con crushftpservice.exe.
  • Il percorso della nuova cartella del processo figlio termina con uno dei seguenti binari di scripting o riga di comando:
    • bash.exe
    • cmd.exe
    • cscript.exe
    • mshta.exe
    • powershell.exe
    • powershell_ise.exe
    • pwsh.exe
    • sh.exe
    • wscript.exe

Ognuno di questi eseguibili è comunemente abusato in scenari post-compromissione per ottenere l’accesso alla shell, eseguire script o lanciare malware.

Input che abbiamo usato (clicca per mostrare il testo)
(ParentBaseFileName=/crushftpservice\.exe$/i ((ImageFileName=/\\bash\.exe$/i or ImageFileName=/\\cmd\.exe$/i or ImageFileName=/\\cscript\.exe$/i or ImageFileName=/\\mshta\.exe$/i or ImageFileName=/\\powershell\.exe$/i or ImageFileName=/\\powershell\_ise\.exe$/i or ImageFileName=/\\pwsh\.exe$/i or ImageFileName=/\\sh\.exe$/i or ImageFileName=/\\wscript\.exe$/i) or (ApplicationName=/\\bash\.exe$/i or ApplicationName=/\\cmd\.exe$/i or ApplicationName=/\\cscript\.exe$/i or ApplicationName=/\\mshta\.exe$/i or ApplicationName=/\\powershell\.exe$/i or ApplicationName=/\\powershell\_ise\.exe$/i or ApplicationName=/\\pwsh\.exe$/i or ApplicationName=/\\sh\.exe$/i or ApplicationName=/\\wscript\.exe$/i)))

Cosa ha fornito il Riepilogo di Uncoder AI

Ecco come Uncoder AI ha semplificato la logica:

“Questa query del Microsoft Defender per Endpoint KQL (Kusto Query Language) individua potenziali attività malevoli identificando gli eventi del processo del dispositivo in cui il processo iniziale è crushftpservice.exe e il processo eseguito è un noto interprete da riga di comando o motore di scripting, come bash.exe , cmd.exe, powershell.exe, ecc.”

Invece di esaminare la logica del percorso della cartella ricca di regex, gli analisti capiscono istantaneamente il comportamento segnalato—dalla sorgente di lancio all’intento di esecuzione.

Risultato dell'IA (clicca per mostrare il testo)
This Microsoft Defender for Endpoint KQL (Kusto Query Language) query detects potential malicious activity by identifying device process events where the initiating process is `crushftpservice.exe` and the executed process is a known command-line interpreter or scripting engine, such as `bash.exe`, `cmd.exe`, `powershell.exe`, etc.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Scoprire i Rischi Interni con il Riassunto Completo in Uncoder AI: Un Caso di Microsoft Defender per Endpoint
Blog, Piattaforma SOC Prime — 3 min di lettura
Scoprire i Rischi Interni con il Riassunto Completo in Uncoder AI: Un Caso di Microsoft Defender per Endpoint
Steven Edwards