Uncoder AIを使用したCrowdStrikeにおける悪意のあるcurlプロキシ活動の可視化

攻撃者はしばしば信用されるツールを再利用し、 curl.exe を通じてトラフィックをトンネル化したり、 SOCKSプロキシ を使って接続しています。 .onion ドメインに到達することさえあります。データの外部抽出やコマンド&コントロール通信のためであれ、このような活動は明確に検出されない限り、しばしばレーダーをくぐり抜けてしまいます。

これはまさに CrowdStrike Endpoint Security Query Language がチームに可能にすることです。しかし、ロジックが複雑化すると、検出エンジニアやSOCアナリストは Uncoder AIのAI生成されたディシジョンツリーから恩恵を受け、ルールのすべての分岐をきれいで視覚的な形式で示します。

Uncoder AIを探求する

検出対象: curl.exe + TORプロキシ指標

CrowdStrike検出ルールは以下を監視します：

• curl.exeのプロセス実行、以下を通じて確認されます ImageFileName and ApplicationName フィールド
  
• SOCKSプロキシ引数、例えば socks5h://, socks5://、または socks4a:// in:
  
  • コマンドライン
    
  • コマンド履歴
    
• .onionドメインへのアクセス、ダークウェブ通信を示唆
  

この多面的なクエリは、 コマンドラインと履歴引数 の両方を使用して、どのように curl.exe が利用されているのか、徹底的な可視性を確保しています。

私たちが使用した入力（テキストを表示するにはクリック）

((ImageFileName=/\curl.exe$/i or ApplicationName=/\curl.exe$/i) ((CommandLine=/socks5h:///i or CommandLine=/socks5:///i or CommandLine=/socks4a:///i) or (CommandHistory=/socks5h:///i or CommandHistory=/socks5:///i or CommandHistory=/socks4a:///i)) (CommandLine=/.onion/i or CommandHistory=/.onion/i))

AIディシジョンツリーが明らかにしたこと

Uncoder AIはこれを論理条件の明確な順序に分解しました：

1. 最初のプロセスマッチ
   
   • ImageFileName or ApplicationName は以下で終わらなければなりません curl.exe （大文字小文字を区別しない）
     
2. SOCKSプロキシ使用の証拠
   
   • 以下を通じて検出されました CommandLine or CommandHistory SOCKSパターン（socks5h, socks5, socks4a)
     
3. .onionトラフィック検出
   
   • 再度、両方で検出されました CommandLine and CommandHistory
     

ツリー構造はまた AND 内部 OR 評価からのロジックを分離します：

• プロセスマッチ、プロキシ使用、.onionドメイン参照という3つの分岐がすべて満たされた場合にのみアラートをトリガーします。

実世界の価値

このディシジョンツリーにより、防御者はこの検出が ターゲットとしているものを即座に解釈できます and why:

• バックドアを特定する Kalambur やその他のインプラントを使用して curl.exe 隠れたサービスとやりとりする。
  
• の乱用を監視する プロキシと匿名化レイヤー これらは境界防御を回避するために使用される可能性があります。
  

特定 と後のエクスプロイト活動 は、正当な管理者の行動とブレンドしようとする。

正規表現から読みやすい論理へ

以前は複雑に見えたCrowdStrikeの正規表現とネストされた条件が今や 視覚的に透明に、Uncoder AIのおかげで。これによりエンパワーされます：

• curlベースのアラートの迅速なトリアージ
  
• 検出ルールのチューニングと検証が容易に
  
• 脅威ハンターとインシデントレスポンダー間の引き継ぎがよりアクセスしやすく

Uncoder AIを探求する