Expondo Scripts Suspeitos via CrushFTP com Uncoder AI no Microsoft Defender

Steven Edwards Analista de Detecção de Ameaças

Add to my AI research

Serviços de transferência de arquivos como CrushFTP são críticos para operações comerciais — mas também podem ser usados como plataformas de lançamento furtivas para atividades pós-exploração. Quando um processo de servidor, como crushftpservice.exe gera interpretadores de linha de comando como powershell.exe , cmd.exe , ou bash.exe , pode sinalizar que um invasor está executando comandos ou implantando cargas sem chamar atenção.

In Microsoft Defender para Endpoint, tal atividade pode ser capturada usando Kusto Query Language (KQL). Mas dissecar a lógica da regra leva tempo — especialmente quando estão envolvidos múltiplos caminhos de processo e padrões de execução.

Com o Resumo Curto do Uncoder AI, os analistas não precisam mais interpretar cada condição manualmente. Em vez disso, eles obtêm uma explicação clara e imediata.

Uncoder AI Acelera a Análise KQL para Atividade Suspeita de CrushFTP

Expondo Scripts Suspeitos via CrushFTP com Uncoder AI no Microsoft Defender

Explore o Uncoder AI

Visão Geral da Lógica de Detecção

A regra de detecção KQL dispara quando:

Um processo (DeviceProcessEvent) é iniciado onde o caminho da pasta do processo de origem termina com crushftpservice.exe.
O caminho da pasta do novo processo filho termina com um dos seguintes binários de script ou linha de comando:
- bash.exe
- cmd.exe
- cscript.exe
- mshta.exe
- powershell.exe
- powershell_ise.exe
- pwsh.exe
- sh.exe
- wscript.exe

Cada um desses executáveis é comumente abusado em cenários pós-comprometimento para obter acesso ao shell, executar scripts ou lançar malware.

Entrada que usamos (clique para mostrar o texto)

(ParentBaseFileName=/crushftpservice\.exe$/i ((ImageFileName=/\\bash\.exe$/i or ImageFileName=/\\cmd\.exe$/i or ImageFileName=/\\cscript\.exe$/i or ImageFileName=/\\mshta\.exe$/i or ImageFileName=/\\powershell\.exe$/i or ImageFileName=/\\powershell\_ise\.exe$/i or ImageFileName=/\\pwsh\.exe$/i or ImageFileName=/\\sh\.exe$/i or ImageFileName=/\\wscript\.exe$/i) or (ApplicationName=/\\bash\.exe$/i or ApplicationName=/\\cmd\.exe$/i or ApplicationName=/\\cscript\.exe$/i or ApplicationName=/\\mshta\.exe$/i or ApplicationName=/\\powershell\.exe$/i or ApplicationName=/\\powershell\_ise\.exe$/i or ApplicationName=/\\pwsh\.exe$/i or ApplicationName=/\\sh\.exe$/i or ApplicationName=/\\wscript\.exe$/i)))

O que o Resumo do Uncoder AI Entregou

Aqui está como o Uncoder AI simplificou a lógica:

“Esta consulta KQL (Kusto Query Language) do Microsoft Defender para Endpoint detecta atividade potencialmente maliciosa ao identificar eventos de processo de dispositivo onde o processo de origem é crushftpservice.exe e o processo executado é um interpretador de linha de comando ou motor de script conhecido, como bash.exe , cmd.exe, powershell.exe, etc.”

Em vez de revisar a lógica de caminho de pasta pesada em regex, os analistas entendem instantaneamente o comportamento que está sendo sinalizado —da fonte de lançamento à intenção de execução.

Saída de AI (clique para mostrar o texto)

This Microsoft Defender for Endpoint KQL (Kusto Query Language) query detects potential malicious activity by identifying device process events where the initiating process is `crushftpservice.exe` and the executed process is a known command-line interpreter or scripting engine, such as `bash.exe`, `cmd.exe`, `powershell.exe`, etc.

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente Agendar uma Reunião

Expondo Scripts Suspeitos via CrushFTP com Uncoder AI no Microsoft Defender

Visão Geral da Lógica de Detecção

O que o Resumo do Uncoder AI Entregou

More Plataforma SOC Prime Articles