Visualizando Atividade Maliciosa de Proxy do curl no CrowdStrike com Uncoder AI

[post-views]
Maio 02, 2025 · 3 min de leitura
Visualizando Atividade Maliciosa de Proxy do curl no CrowdStrike com Uncoder AI

Os adversários frequentemente reutilizam ferramentas confiáveis como curl.exe para tunelizar o tráfego através de proxies SOCKS e até mesmo alcançar .onion domínios. Seja para exfiltração de dados ou comunicação de comando e controle, essa atividade muitas vezes passa despercebida—a menos que você esteja explicitamente detectando-a.

É exatamente isso que a CrowdStrike Endpoint Security Query Language permite que as equipes façam. Mas quando a lógica se torna complexa, engenheiros de detecção e analistas de SOC se beneficiam do Decision Tree gerado por IA do Uncoder AI, que apresenta cada ramo da regra em um formato limpo e visual.

Explore o Uncoder AI

Objetivo de Detecção: curl.exe + Indicadores de Proxy TOR

A regra de detecção da CrowdStrike monitora:

  • Execução do processo de curl.exe, verificada via ImageFileName and ApplicationName campos
  • argumentos de proxy SOCKS, tais como socks5h://, socks5://, ou socks4a:// in:
    • A linha de comando
    • O histórico de comandos
  • Acesso a domínios .onion, indicando comunicação na dark web

Esta consulta multifacetada usa tanto argumentos de linha de comando e históricos para garantir visibilidade completa sobre como curl.exe está sendo aproveitado.

Entrada que usamos (clique para mostrar o texto)

((ImageFileName=/\curl.exe$/i ou ApplicationName=/\curl.exe$/i) ((CommandLine=/socks5h:///i ou CommandLine=/socks5:///i ou CommandLine=/socks4a:///i) ou (CommandHistory=/socks5h:///i ou CommandHistory=/socks5:///i ou CommandHistory=/socks4a:///i)) (CommandLine=/.onion/i ou CommandHistory=/.onion/i))

O que a Árvore de Decisão da IA revelou

O Uncoder AI dividiu isso em uma sequência clara de condições lógicas:

  1. Correspondência de Processo Inicial
    • ImageFileName or ApplicationName deve terminar com curl.exe (não diferencia maiúsculas de minúsculas)
  2. Evidência de Uso de Proxy SOCKS
    • Detectado via CommandLine or CommandHistory correspondendo aos padrões SOCKS (socks5h, socks5, socks4a)
  3. Detecção de Tráfego .onion
    • Detectado novamente em ambos CommandLine and CommandHistory

A estrutura da árvore também separa AND a lógica das OR avaliações internas:

  • Você só aciona um alerta quando todos os três ramos são satisfeitos: correspondência de processo, uso de proxy e referência de domínio .onion.

Valor no Mundo Real

Com esta árvore de decisão, os defensores podem interpretar instantaneamente o que esta detecção alvo and why:

  • Identificar backdoors como Kalambur ou outros implantes usando curl.exe para interagir com serviços ocultos.
  • Monitorar abuso de proxies e camadas de anonimização que podem ser usadas para contornar defesas de perímetro.

Identificar atividade pós-exploração que tenta se misturar com o comportamento legítimo de administração.

De Regex para Lógica Legível

O que antes parecia regex denso da CrowdStrike e condições aninhadas agora é visualmente transparente, graças ao Uncoder AI. Isso capacita:

  • Triagem mais rápida de alertas baseados em curl
  • Ajuste e validação mais fáceis de regras de detecção
  • Transferência mais acessível entre caçadores de ameaças e respondedores de incidentes

Explore o Uncoder AI

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas