Visualizzare l’attività malevola del proxy curl in CrowdStrike con Uncoder AI

[post-views]
Maggio 02, 2025 · 3 min di lettura
Visualizzare l’attività malevola del proxy curl in CrowdStrike con Uncoder AI

Gli avversari spesso riutilizzano strumenti fidati come curl.exe per incanalare il traffico attraverso proxy SOCKS e raggiungere anche i .onion domini. Che si tratti di esfiltrazione di dati o comunicazione di comando e controllo, tale attività spesso sfugge al radar, a meno che non si stia esplicitamente rilevando.

Questo è esattamente ciò che il Linguaggio di Query di Sicurezza Endpoint di CrowdStrike permette ai team di fare. Ma quando la logica diventa complessa, gli ingegneri di rilevamento e gli analisti SOC traggono beneficio da l’Albero Decisionale generato dall’AI di Uncoder AI, che espone ogni ramo della regola in un formato visivo e pulito.

Esplora Uncoder AI

Obiettivo di Rilevamento: Indicatori Proxy TOR + curl.exe

La regola di rilevamento CrowdStrike monitora:

  • Esecuzione del processo di curl.exe, controllato sia tramite ImageFileName and ApplicationName campi
  • argomenti proxy SOCKS, come socks5h://, socks5://, o socks4a:// in:
    • La linea di comando
    • La cronologia dei comandi
  • Accesso ai domini .onion, indicando comunicazione sulla darknet

Questa query multifaccia utilizza sia argomenti da linea di comando che storici per garantire una completa visibilità su come curl.exe viene utilizzato.

Input che abbiamo usato (clicca per mostrare il testo)

((ImageFileName=/\curl.exe$/i o ApplicationName=/\curl.exe$/i) ((CommandLine=/socks5h:///i o CommandLine=/socks5:///i o CommandLine=/socks4a:///i) o (CommandHistory=/socks5h:///i o CommandHistory=/socks5:///i o CommandHistory=/socks4a:///i)) (CommandLine=/.onion/i o CommandHistory=/.onion/i))

Cosa ha rivelato l’Albero Decisionale AI

Uncoder AI lo ha suddiviso in una chiara sequenza di condizioni logiche:

  1. Corrispondenza del Processo Iniziale
    • ImageFileName or ApplicationName deve terminare con curl.exe (case-insensitive)
  2. Prove di Utilizzo del Proxy SOCKS
    • Rilevato tramite CommandLine or CommandHistory che corrispondono a modelli SOCKS (socks5h, socks5, socks4a)
  3. Rilevamento del Traffico .onion
    • Rilevato nuovamente sia in CommandLine and CommandHistory

La struttura ad albero separa anche AND la logica dalle OR valutazioni interne:

  • Si attiva un allarme solo quando tutti e tre i rami sono soddisfatti: corrispondenza del processo, utilizzo del proxy e riferimento al dominio .onion.

Valore nel Mondo Reale

Con questo albero decisionale, i difensori possono interpretare istantaneamente ciò che questo rilevamento mira a and why:

  • Identificare backdoor come Kalambur o altri impianti che utilizzano curl.exe per interagire con servizi nascosti.
  • Monitorare l’abuso di proxy e strati di anonimizzazione che possono essere utilizzati per bypassare le difese perimetrali.

Individuare attività di post-sfruttamento che tenta di mescolarsi con il comportamento legittimo degli amministratori.

Da Regex a Logica Leggibile

Ciò che una volta sembrava regex complessi e condizioni annidate di CrowdStrike è ora trasparente visivamente, grazie a Uncoder AI. Questo abilita:

  • Triagaggio più veloce degli allarmi basati su curl
  • Maggiore facilità di sintonizzazione e convalida delle regole di rilevamento
  • Passaggi più accessibili tra cacciatori di minacce e risponditori agli incidenti

Esplora Uncoder AI

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati