Uncoder AIの意思決定ツリーを用いたMicrosoft Defenderにおけるclfs.sys脅威活動の可視化

Steven Edwards 脅威検出アナリスト

Add to my AI research

正当なシステムドライバを、不正または疑わしいディレクトリから読み込むことは、対抗者が持続性、回避、または実行のために使う既知の戦術です。このカテゴリにおける高価値のターゲットは clfs.sys — Common Log File System に関連する正当な Windows ドライバです。

この活動を検出するために、Microsoft Defender for Endpoint は高度な KQL ベースの検出ロジックをサポートしています。しかし、これらのクエリを本当に運用化するためには、アナリストはそれらがどのように機能するかを把握する必要があります。それがまさに Uncoder AI の AI 生成決定ツリー が提供するものです。

Uncoder AI を探る

ユースケース: clfs.sys がユーザまたは一時パスからロードされた場合

このクエリは、 clfs.sys が 非標準またはユーザー制御のディレクトリからロードされたときに識別します。それには以下が含まれる場合があります:

UsersPublic
Temporary Internet
WindowsTemp
にあるサブフォルダ Users 例えば Pictures , Contacts 、または Favourites

これらのパスがシステムレベルのドライバをホストまたはロードすることはほとんど期待されないため、そのような活動は非常に疑わしいとされます。

Input we used (click to show the text)

DeviceImageLoadEvents | where (FolderPath endswith @'clfs.sys' and ((InitiatingProcessFolderPath contains @':Perflogs' or InitiatingProcessFolderPath contains @':UsersPublic' or InitiatingProcessFolderPath contains @'Temporary Internet' or InitiatingProcessFolderPath contains @'WindowsTemp') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Favorites') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Favourites') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Contacts') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Pictures')))

決定ツリーの分解方法

Uncoder AI はこの検出ロジックを自動的に人間が読みやすい決定ツリー構造に変換し、表示します:

クエリスコープ:
それは、 DeviceImageLoadEvents からフィルタし、フォルダパスが clfs.sys.
で終わる条件です:
決定ツリーは、開始プロセスのフォルダパスがいずれかの 異常なユーザーや一時ストレージの場所.
ブランチ条件:
サブブランチは、考慮されるパスを明確にします:
- 一般的な一時またはキャッシュのフォルダ
- 個人データアクセスを暗示するユーザー固有の場所
- 組み合わせた条件として Users + Favourites or Pictures
結果:
これらの条件のいずれかが満たされると、イベントは関連性があるとマークされ、潜在的な不正利用の可能性を示します。 clfs.sys 疑わしい起源のパスからです。

AI Output (click to show the text)

The Microsoft Defender for Endpoint Query you’ve provided is designed to filter `DeviceImageLoadEvents` based on specific conditions related to the loading of a particular system file (`clfs.sys`) and the paths from which the initiating processes are launched. Here’s a breakdown of the decision tree involved in the condition part of this query:

1. **Initial Condition**: The query starts by looking at all `DeviceImageLoadEvents` where the `FolderPath` ends with `clfs.sys`. This means it’s specifically interested in events involving the loading of the `clfs.sys` file, which is a system file related to the Common Log File System (CLFS) used by Windows.

2. **Main Conditional Branch**:
– The query then applies an OR condition to filter these events based on the `InitiatingProcessFolderPath`. This means it checks if any of the following conditions are true for the folder path of the process that initiated the loading of `clfs.sys`.

3. **Sub-Conditions for Initiating Process Folder Path**:
– The first set of sub-conditions checks if the `InitiatingProcessFolderPath` contains specific directories that could indicate potentially malicious or unauthorized activity, such as:
– `:Perflogs`
– `:UsersPublic`
– `Temporary Internet`
– `WindowsTemp`
– These paths are often associated with temporary files, public user data, internet cache, and system temporary files, respectively. Loading system files like `clfs.sys` from these contexts could be unusual or indicative of malicious activity.

– The next set of sub-conditions checks if the `InitiatingProcessFolderPath` contains specific user directories that might indicate unauthorized access to personal data:
– `:Users` combined with any of the following: `Favorites`, `Favourites`, `Contacts`, or `Pictures`.
– These conditions aim to identify scenarios where a process, potentially malicious, is accessing sensitive user data locations while loading system files.

4. **Decision Outcome**:
– If any of these sub-conditions are met (i.e., if the `InitiatingProcessFolderPath` matches any of the specified patterns), then the event is included in the query results.
– Essentially, the query is looking for instances where the loading of `clfs.sys` might be associated with potentially suspicious or unauthorized activity based on the initiating process’s location.

In summary, this Microsoft Defender for Endpoint Query uses a detailed decision tree to identify and flag `DeviceImageLoadEvents` involving the `clfs.sys` file loaded from specific folder paths that could indicate malicious or unusual system activity.