Esposizione di Script Sospetti tramite CrushFTP con Uncoder AI in Microsoft Defender

Piattaforma SOC Prime

Maggio 01, 2025

3 min di lettura

Esposizione di Script Sospetti tramite CrushFTP con Uncoder AI in Microsoft Defender

Steven Edwards
Steven Edwards Analista di Rilevazione delle Minacce

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

I servizi di trasferimento file come CrushFTP sono fondamentali per le operazioni aziendali, ma possono anche essere utilizzati come piattaforme di lancio furtive per attività post-sfruttamento. Quando un processo del server come crushftpservice.exe genera interpreti da riga di comando come powershell.exe , cmd.exe , o bash.exe , potrebbe segnalare che un attaccante sta eseguendo comandi o distribuendo payload sotto radar.

In Microsoft Defender per Endpoint, tali attività possono essere catturate utilizzando il Kusto Query Language (KQL). Ma analizzare la logica delle regole richiede tempo, soprattutto quando sono coinvolti più percorsi di processo e modelli di esecuzione.

Con il Riepilogo Breve di Uncoder AI, gli analisti non devono più interpretare manualmente ogni condizione. Ricevono invece una spiegazione chiara e immediata.

Uncoder AI accelera l'analisi KQL per l'attività sospetta di CrushFTP

Esposizione di Scripting Sospetto tramite CrushFTP con Uncoder AI in Microsoft Defender

Esplora Uncoder AI

Panoramica della Logica di Rilevamento

La regola di rilevamento KQL si attiva quando:

  • Un processo (DeviceProcessEvent) viene avviato in cui il percorso della cartella del processo iniziale termina con crushftpservice.exe.
  • Il percorso della nuova cartella del processo figlio termina con uno dei seguenti binari di scripting o riga di comando:
    • bash.exe
    • cmd.exe
    • cscript.exe
    • mshta.exe
    • powershell.exe
    • powershell_ise.exe
    • pwsh.exe
    • sh.exe
    • wscript.exe

Ognuno di questi eseguibili è comunemente abusato in scenari post-compromissione per ottenere l’accesso alla shell, eseguire script o lanciare malware.

Input che abbiamo usato (clicca per mostrare il testo)
(ParentBaseFileName=/crushftpservice\.exe$/i ((ImageFileName=/\\bash\.exe$/i or ImageFileName=/\\cmd\.exe$/i or ImageFileName=/\\cscript\.exe$/i or ImageFileName=/\\mshta\.exe$/i or ImageFileName=/\\powershell\.exe$/i or ImageFileName=/\\powershell\_ise\.exe$/i or ImageFileName=/\\pwsh\.exe$/i or ImageFileName=/\\sh\.exe$/i or ImageFileName=/\\wscript\.exe$/i) or (ApplicationName=/\\bash\.exe$/i or ApplicationName=/\\cmd\.exe$/i or ApplicationName=/\\cscript\.exe$/i or ApplicationName=/\\mshta\.exe$/i or ApplicationName=/\\powershell\.exe$/i or ApplicationName=/\\powershell\_ise\.exe$/i or ApplicationName=/\\pwsh\.exe$/i or ApplicationName=/\\sh\.exe$/i or ApplicationName=/\\wscript\.exe$/i)))

Cosa ha fornito il Riepilogo di Uncoder AI

Ecco come Uncoder AI ha semplificato la logica:

“Questa query del Microsoft Defender per Endpoint KQL (Kusto Query Language) individua potenziali attività malevoli identificando gli eventi del processo del dispositivo in cui il processo iniziale è crushftpservice.exe e il processo eseguito è un noto interprete da riga di comando o motore di scripting, come bash.exe , cmd.exe, powershell.exe, ecc.”

Invece di esaminare la logica del percorso della cartella ricca di regex, gli analisti capiscono istantaneamente il comportamento segnalato—dalla sorgente di lancio all’intento di esecuzione.

Risultato dell'IA (clicca per mostrare il testo)
This Microsoft Defender for Endpoint KQL (Kusto Query Language) query detects potential malicious activity by identifying device process events where the initiating process is `crushftpservice.exe` and the executed process is a known command-line interpreter or scripting engine, such as `bash.exe`, `cmd.exe`, `powershell.exe`, etc.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Piattaforma SOC Prime Articles

Protocollo di Contesto del Modello: Rischi di Sicurezza e Mitigazioni 18 min di lettura Piattaforma SOC Prime Protocollo di Contesto del Modello: Rischi di Sicurezza e Mitigazioni by Daryna Olyniychuk Rilevamento delle Minacce Syscall in Linux con Splunk e Uncoder AI 2 min di lettura Piattaforma SOC Prime Rilevamento delle Minacce Syscall in Linux con Splunk e Uncoder AI by Steven Edwards Da Sigma a SentinelOne: Rilevare Accesso alle Password tramite Notepad con Uncoder AI 2 min di lettura Piattaforma SOC Prime Da Sigma a SentinelOne: Rilevare Accesso alle Password tramite Notepad con Uncoder AI by Steven Edwards