Uncoder AI로 CrowdStrike에서 악성 curl 프록시 활동 시각화

공격자들은 자주 신뢰받는 도구인 curl.exe 를 사용하여 트래픽을 SOCKS 프록시 를 통해 터널링하고 심지어 .onion 도메인에 도달합니다. 데이터 탈취 또는 명령 및 제어 통신을 위해서든, 그러한 활동은 명시적으로 탐지하지 않으면 잘 드러나지 않습니다.

이것이 바로 크라우드스트라이크 엔드포인트 보안 쿼리 언어 가 팀에게 할 수 있게 해주는 것입니다. 그러나 논리가 복잡해질 때, 탐지 엔지니어와 SOC 분석가는 Uncoder AI의 AI 생성 의사결정 트리로부터 이점을 얻습니다. 이 도구는 규칙의 모든 분기를 깔끔하고 시각화된 형식으로 제시합니다.

Uncoder AI 탐색하기

탐지 목표: curl.exe + TOR 프록시 지표

크라우드스트라이크 탐지 규칙은 다음을 모니터링합니다:

• curl.exe의 프로세스 실행, 둘 모두를 통해 확인되는 ImageFileName and ApplicationName 필드
  
• SOCKS 프록시 인수, 예를 들어 socks5h://, socks5://, 또는 socks4a:// in:
  
  • 명령 줄
    
  • 명령 기록
    
• .onion 도메인에 대한 접근, 다크 웹 통신을 나타내는
  

이 다면적인 쿼리는 명령 줄 및 역사적인 인수 를 사용하여 curl.exe 가 어떻게 활용되는지에 대한 철저한 가시성을 보장합니다.

우리가 사용한 입력 (텍스트 보려면 클릭)

((ImageFileName=/\curl.exe$/i or ApplicationName=/\curl.exe$/i) ((CommandLine=/socks5h:///i or CommandLine=/socks5:///i or CommandLine=/socks4a:///i) or (CommandHistory=/socks5h:///i or CommandHistory=/socks5:///i or CommandHistory=/socks4a:///i)) (CommandLine=/.onion/i or CommandHistory=/.onion/i))

AI 의사결정 트리가 밝혀낸 것

Uncoder AI는 이것을 명확한 논리 조건의 연속으로 나누었습니다:

1. 초기 프로세스 일치
   
   • ImageFileName or ApplicationName 가 끝나야 합니다 curl.exe (대소문자 구분 없음)
     
2. SOCKS 프록시 사용 증거
   
   • 를 통해 감지됨 명령 줄 or 명령 기록 SOCKS 패턴 (socks5h, socks5, socks4a)
     
3. .onion 트래픽 탐지
   
   • 다시 둘 모두에서 감지됨 명령 줄 and 명령 기록
     

트리 구조는 또한 AND 내부 논리 OR 평가로부터 분리합니다:

• 프로세스 일치, 프록시 사용, 그리고 .onion 도메인 참조의 세 가지 분기가 모두 충족될 때만 경고가 발생합니다.

실제 가치

이 의사결정 트리를 통해 방어자는 이 탐지가 대상을 즉시 해석할 수 있습니다 and why:

• 백도어 식별하기 Kalambur 또는 다른 임플란트를 사용하여 curl.exe 숨겨진 서비스와 상호작용합니다.
  
• 남용 모니터링 프록시 및 익명화 계층 영역 방어를 우회하는 데 사용될 수 있습니다.
  

정확히 찾아냅니다 포스트 익스플로이트 활동 이 합법적인 관리자 행동과 혼합하려 시도하는

정규식에서 읽을 수 있는 논리로

한때 복잡했던 크라우드스트라이크 정규식과 중첩된 조건들은 이제 시각적으로 투명합니다, Uncoder AI 덕분입니다. 이는 다음을 가능하게 합니다:

• curl 기반 경고의 더 빠른 분류
  
• 탐지 규칙의 더 쉬운 조정 및 검증
  
• 위협 헌터와 사건 대응자 간의 더 접근 가능한 인계

Uncoder AI 탐색하기