Uncoder AI의 의사 결정 트리로 Microsoft Defender에서 clfs.sys 위협 활동 시각화

블로그

5월 01, 2025

5 분 읽기

Uncoder AI의 의사 결정 트리로 Microsoft Defender에서 clfs.sys 위협 활동 시각화

Steven Edwards
Steven Edwards 위협 탐지 분석가

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
목차

주간 요약 구독하기

SOC Prime 사용자에게만 독점 제공

Newsletter Icon

합법적인 시스템 드라이버를 불법적이거나 의심스러운 디렉토리에서 로딩하는 것은 적대자들이 지속성, 회피 또는 실행을 위해 사용하는 알려진 기법입니다. 이 범주에서의 고가치 타겟은 clfs.sys — Common Log File System와 연관된 합법적인 Windows 드라이버입니다.

이 활동을 탐지하기 위해, Microsoft Defender for Endpoint는 고급 KQL 기반 탐지 논리를 지원합니다. 하지만 이러한 쿼리를 실제로 운영화하려면, 분석가들은 그것이 어떻게 작동하는지에 대한 가시성이 필요합니다. 이것이 바로 Uncoder AI의 AI 생성 의사결정 트리 가 제공하는 것입니다.

Uncoder AI 탐색

사용 사례: User 또는 Temp 경로에서 로드된 clfs.sys

이 쿼리는 clfs.sys 가 로드될 때를 식별합니다 비표준 또는 사용자 제어 디렉토리를 포함할 수 있는:

  • UsersPublic
  • Temporary Internet
  • WindowsTemp
  • 하위 폴더 Users 다음과 같은 Pictures , Contacts , 또는 Favourites

이러한 경로는 시스템 수준 드라이버를 호스트하거나 로딩을 시작할 것으로 거의 예상되지 않으므로, 이러한 활동은 매우 의심스럽습니다.

Input we used (click to show the text)
DeviceImageLoadEvents | where (FolderPath endswith @'clfs.sys' and ((InitiatingProcessFolderPath contains @':Perflogs' or InitiatingProcessFolderPath contains @':UsersPublic' or InitiatingProcessFolderPath contains @'Temporary Internet' or InitiatingProcessFolderPath contains @'WindowsTemp') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Favorites') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Favourites') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Contacts') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Pictures')))

의사결정 트리가 이를 분해하는 방법

Uncoder AI는 이 탐지 논리를 인간이 읽기 쉬운 의사결정 트리 구조로 자동 변환하여 다음을 보여줍니다:

  1. 쿼리 범위:
    DeviceImageLoadEvents에서 필터링됩니다 DeviceImageLoadEvents 폴더 경로가 clfs.sys.
  2. 으로 끝나는 경우:
    의사결정 트리는 시작 과정의 폴더 경로가 어떤 비정상적인 사용자 또는 임시 저장소 위치를 포함하는지 여부를 확인합니다.
  3. 분기 조건:
    하위 분기들은 어떤 경로들이 고려되는지를 명확히 합니다:
    • 일반적인 임시 또는 캐시 폴더
    • 개인 데이터 접근을 암시하는 사용자 특정 위치
    • 와 같은 결합된 조건: Users + Favourites or Pictures
  4. 결과:
    이 조건들 중 어느 하나라도 충족되면 이벤트는 관련성이 있는 것으로 표시되어 잠재적 오용의 가능성을 나타냅니다 clfs.sys 의심스러운 원본 경로에서
AI Output (click to show the text)
The Microsoft Defender for Endpoint Query you’ve provided is designed to filter `DeviceImageLoadEvents` based on specific conditions related to the loading of a particular system file (`clfs.sys`) and the paths from which the initiating processes are launched. Here’s a breakdown of the decision tree involved in the condition part of this query:

1. **Initial Condition**: The query starts by looking at all `DeviceImageLoadEvents` where the `FolderPath` ends with `clfs.sys`. This means it’s specifically interested in events involving the loading of the `clfs.sys` file, which is a system file related to the Common Log File System (CLFS) used by Windows.

2. **Main Conditional Branch**:
– The query then applies an OR condition to filter these events based on the `InitiatingProcessFolderPath`. This means it checks if any of the following conditions are true for the folder path of the process that initiated the loading of `clfs.sys`.

3. **Sub-Conditions for Initiating Process Folder Path**:
– The first set of sub-conditions checks if the `InitiatingProcessFolderPath` contains specific directories that could indicate potentially malicious or unauthorized activity, such as:
– `:Perflogs`
– `:UsersPublic`
– `Temporary Internet`
– `WindowsTemp`
– These paths are often associated with temporary files, public user data, internet cache, and system temporary files, respectively. Loading system files like `clfs.sys` from these contexts could be unusual or indicative of malicious activity.

– The next set of sub-conditions checks if the `InitiatingProcessFolderPath` contains specific user directories that might indicate unauthorized access to personal data:
– `:Users` combined with any of the following: `Favorites`, `Favourites`, `Contacts`, or `Pictures`.
– These conditions aim to identify scenarios where a process, potentially malicious, is accessing sensitive user data locations while loading system files.

4. **Decision Outcome**:
– If any of these sub-conditions are met (i.e., if the `InitiatingProcessFolderPath` matches any of the specified patterns), then the event is included in the query results.
– Essentially, the query is looking for instances where the loading of `clfs.sys` might be associated with potentially suspicious or unauthorized activity based on the initiating process’s location.

In summary, this Microsoft Defender for Endpoint Query uses a detailed decision tree to identify and flag `DeviceImageLoadEvents` involving the `clfs.sys` file loaded from specific folder paths that could indicate malicious or unusual system activity.

이것이 중요한 이유

  •  
  • 향상된 컨텍스트: 분석가들은 더 이상 위험 범위를 이해하기 위해 복잡한 OR 조건을 해독할 필요가 없습니다.
  • 더 빠른 분류: 규칙이 임시 경로 오용, 사용자 폴더 남용 또는 둘 다를 잡아내는지 몇 초 안에 알 수 있습니다.
  • 감사 준비 논리: 트리 스타일 분해는 문서화 및 SOC 교육 노력을 더 쉽게 지원합니다.

결국 clfs.sys 를 예상된 시스템 디렉토리 외부에서 로드하는 것은 드라이버 오용, 로우 오프 랜드 전술, 또는 의심스러운 것으로 합법적 프로세스로 가장하는 악성코드.

폴더 플래그에서 위협 방어로

Uncoder AI의 의사결정 트리는 장황한 KQL을 직관적이고 SOC 친화적인 형식으로바꿉니다. 이 규칙을 조정하거나 이상을 사냥하거나 탐지 논리를 리더십에 설명할 때에 이 기능은 실용적입니다.

Uncoder AI 탐색

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.
무료 가입 회의 예약

More 블로그 Articles

모델 컨텍스트 프로토콜: 보안 위험 및 완화 12 분 읽기 SOC Prime 플랫폼 모델 컨텍스트 프로토콜: 보안 위험 및 완화 by Daryna Olyniychuk AI 위협 인텔리전스 10 분 읽기 SIEM & EDR AI 위협 인텔리전스 by Veronika Zahorulko Splunk에서 Uncoder AI를 활용한 리눅스 시스템 호출 위협 탐지 2 분 읽기 SOC Prime 플랫폼 Splunk에서 Uncoder AI를 활용한 리눅스 시스템 호출 위협 탐지 by Steven Edwards