Visualizando a Atividade de Ameaça clfs.sys no Microsoft Defender com a Árvore de Decisão do Uncoder AI

Plataforma SOC Prime

Maio 01, 2025

6 min de leitura

Visualizando a Atividade de Ameaça clfs.sys no Microsoft Defender com a Árvore de Decisão do Uncoder AI

Steven Edwards
Steven Edwards Analista de Detecção de Ameaças

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Tabela de Conteúdos

Inscreva-se no Resumo Semanal

Exclusivo para usuários SOC Prime

Newsletter Icon

Carregar drivers de sistema legítimos de diretórios ilegítimos ou suspeitos é uma tática conhecida para persistência, evasão ou execução por adversários. Um alvo de alto valor nesta categoria é clfs.sys — um driver legítimo do Windows vinculado ao Sistema de Arquivos de Log Comum.

Para detectar essa atividade, o Microsoft Defender para Endpoint suporta lógica de detecção avançada baseada em KQL. Mas para realmente operacionalizar essas consultas, os analistas precisam de visibilidade sobre como elas funcionam. É exatamente isso que a Árvore de Decisão gerada por IA do Uncoder AI entrega.

Explore o Uncoder AI

Caso de Uso: clfs.sys Carregado de Caminhos de Usuário ou Temp

Esta consulta identifica quando clfs.sys é carregado de diretórios não padrão ou controlados pelo usuário, que podem incluir:

  • UsersPublic
  • Temporary Internet
  • WindowsTemp
  • Subpastas sob Users como Pictures , Contacts , ou Favourites

Esses caminhos raramente são esperados para hospedar ou iniciar o carregamento de drivers de nível de sistema, tornando essa atividade altamente suspeita.

Input we used (click to show the text)
DeviceImageLoadEvents | where (FolderPath endswith @'clfs.sys' and ((InitiatingProcessFolderPath contains @':Perflogs' or InitiatingProcessFolderPath contains @':UsersPublic' or InitiatingProcessFolderPath contains @'Temporary Internet' or InitiatingProcessFolderPath contains @'WindowsTemp') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Favorites') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Favourites') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Contacts') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Pictures')))

Como a Árvore de Decisão o Divide

O Uncoder AI transforma automaticamente essa lógica de detecção em uma estrutura de árvore de decisão legível por humanos, mostrando:

  1. Escopo da Consulta:
    Filtra de DeviceImageLoadEvents onde o caminho da pasta termina com clfs.sys.
  2. Condições do Caminho da Pasta:
    A árvore de decisão verifica se o caminho da pasta do processo de iniciação contém algum localizações de armazenamento temporário ou de usuário incomuns.
  3. Condições de Ramificação:
    Sub-ramificações esclarecem quais caminhos são considerados:
    • pastas temporárias ou de cache genéricas
    • localizações específicas do usuário que implicam acesso a dados pessoais
    • Condições combinadas como Users + Favourites or Pictures
  4. Resultado:
    Se qualquer uma dessas condições for atendida, o evento é marcado como relevante — indicando um possível uso incorreto de clfs.sys de caminhos de origem suspeitos.
AI Output (click to show the text)
The Microsoft Defender for Endpoint Query you’ve provided is designed to filter `DeviceImageLoadEvents` based on specific conditions related to the loading of a particular system file (`clfs.sys`) and the paths from which the initiating processes are launched. Here’s a breakdown of the decision tree involved in the condition part of this query:

1. **Initial Condition**: The query starts by looking at all `DeviceImageLoadEvents` where the `FolderPath` ends with `clfs.sys`. This means it’s specifically interested in events involving the loading of the `clfs.sys` file, which is a system file related to the Common Log File System (CLFS) used by Windows.

2. **Main Conditional Branch**:
– The query then applies an OR condition to filter these events based on the `InitiatingProcessFolderPath`. This means it checks if any of the following conditions are true for the folder path of the process that initiated the loading of `clfs.sys`.

3. **Sub-Conditions for Initiating Process Folder Path**:
– The first set of sub-conditions checks if the `InitiatingProcessFolderPath` contains specific directories that could indicate potentially malicious or unauthorized activity, such as:
– `:Perflogs`
– `:UsersPublic`
– `Temporary Internet`
– `WindowsTemp`
– These paths are often associated with temporary files, public user data, internet cache, and system temporary files, respectively. Loading system files like `clfs.sys` from these contexts could be unusual or indicative of malicious activity.

– The next set of sub-conditions checks if the `InitiatingProcessFolderPath` contains specific user directories that might indicate unauthorized access to personal data:
– `:Users` combined with any of the following: `Favorites`, `Favourites`, `Contacts`, or `Pictures`.
– These conditions aim to identify scenarios where a process, potentially malicious, is accessing sensitive user data locations while loading system files.

4. **Decision Outcome**:
– If any of these sub-conditions are met (i.e., if the `InitiatingProcessFolderPath` matches any of the specified patterns), then the event is included in the query results.
– Essentially, the query is looking for instances where the loading of `clfs.sys` might be associated with potentially suspicious or unauthorized activity based on the initiating process’s location.

In summary, this Microsoft Defender for Endpoint Query uses a detailed decision tree to identify and flag `DeviceImageLoadEvents` involving the `clfs.sys` file loaded from specific folder paths that could indicate malicious or unusual system activity.

Por Que Isso Importa

  •  
  • Contexto Elevado: Os analistas não precisam mais decifrar condições complexas de OU para entender a cobertura de risco.
  • Triagem Mais Rápida: Você pode ver em segundos se a regra captura o uso incorreto de caminhos temporários, abuso de pastas de usuário ou ambos.
  • Lógica Preparada para Auditoria: A divisão em estilo de árvore suporta documentação mais fácil e esforços de treinamento de SOC.

Em última análise, carregar clfs.sys de fora de seus diretórios de sistema esperados pode representar abuso de driver, táticas de viver da terra, ou malware mascarando-se como processos legítimos.

De Flags de Pasta para Defesa contra Ameaças

A Árvore de Decisão do Uncoder AI pega o KQL detalhado e o transforma em um formato intuitivo e amigável para SOC. Seja você ajustando essa regra, caçando anomalias ou explicando a lógica de detecção para a liderança — esse recurso a torna acionável.

Explore o Uncoder AI

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Cadastre-se Gratuitamente Agendar uma Reunião

More Plataforma SOC Prime Articles

Protocolo de Contexto do Modelo: Riscos de Segurança e Mitigações 19 min de leitura Plataforma SOC Prime Protocolo de Contexto do Modelo: Riscos de Segurança e Mitigações by Daryna Olyniychuk Detecção de Ameaças em Syscall Linux no Splunk com Uncoder AI 2 min de leitura Plataforma SOC Prime Detecção de Ameaças em Syscall Linux no Splunk com Uncoder AI by Steven Edwards De Sigma para SentinelOne: Detectando Acesso a Senhas via Notepad com Uncoder AI 2 min de leitura Plataforma SOC Prime De Sigma para SentinelOne: Detectando Acesso a Senhas via Notepad com Uncoder AI by Steven Edwards