CrushFTPの疑わしいスクリプトをMicrosoft DefenderでUncoder AIを使用して暴露する

ブログ

5月 01, 2025

6 分で読めます

CrushFTPの疑わしいスクリプトをMicrosoft DefenderでUncoder AIを使用して暴露する

Steven Edwards
Steven Edwards 脅威検出アナリスト

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

週刊ダイジェストを購読

SOC Prime ユーザー限定

Newsletter Icon

CrushFTPのような ファイル転送サービスは ビジネス運用に不可欠ですが、同時に侵害後の活動の隠れた発射台としても利用され得ます。サーバープロセス crushftpservice.exepowershell.exe , cmd.exe 、または bash.exe などのコマンドラインインタープリタを生成すると、それは攻撃者が注目されないようにコマンドを実行したりペイロードを展開している兆候かもしれません。

In Microsoft Defender for Endpoint、このような活動はKusto Query Language (KQL)を使用してキャプチャできます。しかし、複数のプロセスパスや実行パターンが関与する際にはそのルールロジックを解析するのに時間がかかります。

Uncoder AIの短い要約 を使用すると、アナリストは各条件を手動で解釈する必要がなくなります。その代わりに明確で迅速な説明が得られます。

Uncoder AIによる疑わしいCrushFTP活動のためのKQL分析の迅速化

Microsoft DefenderでUncoder AIを使用してCrushFTP経由の不審なスクリプトを露出する

Uncoder AIを探る

検出ロジックの概要

KQL検出ルールは次の場合にトリガーされます:

  • 起動プロセスフォルダパスが crushftpservice.exe.
  • で終わるプロセス(DeviceProcessEvent)が起動されたとき、新しい子プロセスのフォルダパスが以下のスクリプトまたはコマンドラインバイナリのいずれかで終わる:
    • bash.exe
    • cmd.exe
    • cscript.exe
    • mshta.exe
    • powershell.exe
    • powershell_ise.exe
    • pwsh.exe
    • sh.exe
    • wscript.exe

これらの実行可能ファイルはいずれも、コンプロマイズされたシナリオで殻アクセスを得たり、スクリプトを実行したり、マルウェアを起動したりする際に一般的に悪用されます。

使用した入力内容(クリックしてテキストを表示
(ParentBaseFileName=/crushftpservice\.exe$/i ((ImageFileName=/\\bash\.exe$/i or ImageFileName=/\\cmd\.exe$/i or ImageFileName=/\\cscript\.exe$/i or ImageFileName=/\\mshta\.exe$/i or ImageFileName=/\\powershell\.exe$/i or ImageFileName=/\\powershell\_ise\.exe$/i or ImageFileName=/\\pwsh\.exe$/i or ImageFileName=/\\sh\.exe$/i or ImageFileName=/\\wscript\.exe$/i) or (ApplicationName=/\\bash\.exe$/i or ApplicationName=/\\cmd\.exe$/i or ApplicationName=/\\cscript\.exe$/i or ApplicationName=/\\mshta\.exe$/i or ApplicationName=/\\powershell\.exe$/i or ApplicationName=/\\powershell\_ise\.exe$/i or ApplicationName=/\\pwsh\.exe$/i or ApplicationName=/\\sh\.exe$/i or ApplicationName=/\\wscript\.exe$/i)))

Uncoder AIの要約で導き出された内容

Uncoder AIがどのようにロジックを簡素化したか:

「このMicrosoft Defender for Endpoint KQL(Kusto Query Language)クエリは、起動プロセスが crushftpservice.exe であり、実行されたプロセスが bash.exe , cmd.exe, powershell.exe

などの既知のコマンドラインインタープリタやスクリプトエンジンである場合に、デバイスプロセスイベントを特定することによって潜在的な悪意のある活動を検出します。」正規表現が多用されたフォルダパスのロジックを見直す代わりに、アナリストはフラグ付けされている動作を速やかに理解し——.

AIの出力(クリックしてテキストを表示)
このMicrosoft Defender for Endpoint KQL(Kusto Query Language)クエリは、`crushftpservice.exe` 起動プロセスが存在し、`bash.exe`、`cmd.exe`、`powershell.exe` などの既知のコマンドラインインタープリタやスクリプトエンジンが実行された場合に、潜在的な悪意のある活動を検出します。
SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。
無料で参加 ミーティングを予約

More ブログ Articles

モデルコンテキストプロトコル: セキュリティリスクと対策 26 分で読めます SOCプライムプラットフォーム モデルコンテキストプロトコル: セキュリティリスクと対策 by Daryna Olyniychuk AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Zahorulko Uncoder AIを使用したSplunkでのLinuxシステムコール脅威検出 3 分で読めます SOCプライムプラットフォーム Uncoder AIを使用したSplunkでのLinuxシステムコール脅威検出 by Steven Edwards