Visualizzare l’attività delle minacce clfs.sys in Microsoft Defender con l’Albero Decisionale di Uncoder AI

Piattaforma SOC Prime

Maggio 01, 2025

5 min di lettura

Visualizzare l’attività delle minacce clfs.sys in Microsoft Defender con l’Albero Decisionale di Uncoder AI

Steven Edwards
Steven Edwards Analista di Rilevazione delle Minacce

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Indice dei Contenuti

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Caricare driver di sistema legittimi da directory illegittime o sospette è una tattica nota per la persistenza, l’evasione o l’esecuzione da parte degli avversari. Un obiettivo di alto valore in questa categoria è clfs.sys — un driver Windows legittimo legato al Common Log File System.

Per rilevare questa attività, Microsoft Defender for Endpoint supporta logiche di rilevamento avanzate basate su KQL. Ma per rendere davvero operative queste query, gli analisti hanno bisogno di visibilità su come funzionano. È esattamente ciò che l’albero decisionale generato dall’AI di Uncoder AI fornisce.

Esplora Uncoder AI

Caso d’uso: clfs.sys caricato da percorsi User o Temp

Questa query identifica quando clfs.sys viene caricato da directory non standard o controllate dall’utente, che possono includere:

  • UsersPublic
  • Temporary Internet
  • WindowsTemp
  • Sottocartelle sotto Users come Pictures , Contacts , o Favourites

Questi percorsi raramente ci si aspetta che ospitino o avviino il caricamento di driver a livello di sistema, rendendo tale attività estremamente sospetta.

Input we used (click to show the text)
DeviceImageLoadEvents | where (FolderPath endswith @'clfs.sys' and ((InitiatingProcessFolderPath contains @':Perflogs' or InitiatingProcessFolderPath contains @':UsersPublic' or InitiatingProcessFolderPath contains @'Temporary Internet' or InitiatingProcessFolderPath contains @'WindowsTemp') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Favorites') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Favourites') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Contacts') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Pictures')))

Come l’albero decisionale lo scompone

Uncoder AI trasforma automaticamente questa logica di rilevamento in una struttura ad albero decisionale leggibile dall’uomo, mostrando:

  1. Ambito della query:
    Filtra da DeviceImageLoadEvents dove il percorso della cartella termina con clfs.sys.
  2. Condizioni del percorso cartella:
    L’albero decisionale verifica se il percorso della cartella del processo iniziatore contiene qualcuna delle posizioni insolite di archiviazione utente o temporanea.
  3. Condizioni di ramificazione:
    Le sotto-sezioni chiariscono quali percorsi sono considerati:
    • Cartelle generiche temporanee o di cache
    • Posizioni specifiche dell’utente che implicano accesso a dati personali
    • Condizioni combinate come Users + Favourites or Pictures
  4. Risultato:
    Se una qualsiasi di queste condizioni viene soddisfatta, l’evento viene contrassegnato come rilevante—indicando un potenziale uso improprio di clfs.sys da percorsi di origine sospetti.
AI Output (click to show the text)
The Microsoft Defender for Endpoint Query you’ve provided is designed to filter `DeviceImageLoadEvents` based on specific conditions related to the loading of a particular system file (`clfs.sys`) and the paths from which the initiating processes are launched. Here’s a breakdown of the decision tree involved in the condition part of this query:

1. **Initial Condition**: The query starts by looking at all `DeviceImageLoadEvents` where the `FolderPath` ends with `clfs.sys`. This means it’s specifically interested in events involving the loading of the `clfs.sys` file, which is a system file related to the Common Log File System (CLFS) used by Windows.

2. **Main Conditional Branch**:
– The query then applies an OR condition to filter these events based on the `InitiatingProcessFolderPath`. This means it checks if any of the following conditions are true for the folder path of the process that initiated the loading of `clfs.sys`.

3. **Sub-Conditions for Initiating Process Folder Path**:
– The first set of sub-conditions checks if the `InitiatingProcessFolderPath` contains specific directories that could indicate potentially malicious or unauthorized activity, such as:
– `:Perflogs`
– `:UsersPublic`
– `Temporary Internet`
– `WindowsTemp`
– These paths are often associated with temporary files, public user data, internet cache, and system temporary files, respectively. Loading system files like `clfs.sys` from these contexts could be unusual or indicative of malicious activity.

– The next set of sub-conditions checks if the `InitiatingProcessFolderPath` contains specific user directories that might indicate unauthorized access to personal data:
– `:Users` combined with any of the following: `Favorites`, `Favourites`, `Contacts`, or `Pictures`.
– These conditions aim to identify scenarios where a process, potentially malicious, is accessing sensitive user data locations while loading system files.

4. **Decision Outcome**:
– If any of these sub-conditions are met (i.e., if the `InitiatingProcessFolderPath` matches any of the specified patterns), then the event is included in the query results.
– Essentially, the query is looking for instances where the loading of `clfs.sys` might be associated with potentially suspicious or unauthorized activity based on the initiating process’s location.

In summary, this Microsoft Defender for Endpoint Query uses a detailed decision tree to identify and flag `DeviceImageLoadEvents` involving the `clfs.sys` file loaded from specific folder paths that could indicate malicious or unusual system activity.

Perché questo è importante

  •  
  • Contesto elevato: Gli analisti non hanno più bisogno di decifrare condizioni OR stratificate per comprendere la copertura del rischio.
  • Triaging più veloce: Puoi vedere in pochi secondi se la regola individua l’uso improprio dei percorsi temp, l’abuso delle cartelle utente, o entrambi.
  • Logica pronta per audit: L’analisi in stile ad albero supporta documentazione più semplice e sforzi di formazione SOC.

In definitiva, caricare clfs.sys fuori dalle sue directory di sistema previste può rappresentare un abuso di driver, tattiche living-off-the-land, o malware che si maschera come processi legittimi.

Dai flag delle cartelle alla difesa dalle minacce

L’albero decisionale di Uncoder AI prende KQL verboso e lo trasforma in un formato intuitivo e amichevole per il SOC. Che tu stia regolando questa regola, cercando anomalie, o spiegando la logica di rilevamento alla leadership—questa funzione la rende azionabile.

Esplora Uncoder AI

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Piattaforma SOC Prime Articles

Protocollo di Contesto del Modello: Rischi di Sicurezza e Mitigazioni 18 min di lettura Piattaforma SOC Prime Protocollo di Contesto del Modello: Rischi di Sicurezza e Mitigazioni by Daryna Olyniychuk Rilevamento delle Minacce Syscall in Linux con Splunk e Uncoder AI 2 min di lettura Piattaforma SOC Prime Rilevamento delle Minacce Syscall in Linux con Splunk e Uncoder AI by Steven Edwards Da Sigma a SentinelOne: Rilevare Accesso alle Password tramite Notepad con Uncoder AI 2 min di lettura Piattaforma SOC Prime Da Sigma a SentinelOne: Rilevare Accesso alle Password tramite Notepad con Uncoder AI by Steven Edwards