Visualizando Atividade Maliciosa de Proxy do curl no CrowdStrike com Uncoder AI

Os adversários frequentemente reutilizam ferramentas confiáveis como curl.exe para tunelizar o tráfego através de proxies SOCKS e até mesmo alcançar .onion domínios. Seja para exfiltração de dados ou comunicação de comando e controle, essa atividade muitas vezes passa despercebida—a menos que você esteja explicitamente detectando-a.

É exatamente isso que a CrowdStrike Endpoint Security Query Language permite que as equipes façam. Mas quando a lógica se torna complexa, engenheiros de detecção e analistas de SOC se beneficiam do Decision Tree gerado por IA do Uncoder AI, que apresenta cada ramo da regra em um formato limpo e visual.

Explore o Uncoder AI

Objetivo de Detecção: curl.exe + Indicadores de Proxy TOR

A regra de detecção da CrowdStrike monitora:

• Execução do processo de curl.exe, verificada via ImageFileName and ApplicationName campos
  
• argumentos de proxy SOCKS, tais como socks5h://, socks5://, ou socks4a:// in:
  
  • A linha de comando
    
  • O histórico de comandos
    
• Acesso a domínios .onion, indicando comunicação na dark web
  

Esta consulta multifacetada usa tanto argumentos de linha de comando e históricos para garantir visibilidade completa sobre como curl.exe está sendo aproveitado.

Entrada que usamos (clique para mostrar o texto)

((ImageFileName=/\curl.exe$/i ou ApplicationName=/\curl.exe$/i) ((CommandLine=/socks5h:///i ou CommandLine=/socks5:///i ou CommandLine=/socks4a:///i) ou (CommandHistory=/socks5h:///i ou CommandHistory=/socks5:///i ou CommandHistory=/socks4a:///i)) (CommandLine=/.onion/i ou CommandHistory=/.onion/i))

O que a Árvore de Decisão da IA revelou

O Uncoder AI dividiu isso em uma sequência clara de condições lógicas:

1. Correspondência de Processo Inicial
   
   • ImageFileName or ApplicationName deve terminar com curl.exe (não diferencia maiúsculas de minúsculas)
     
2. Evidência de Uso de Proxy SOCKS
   
   • Detectado via CommandLine or CommandHistory correspondendo aos padrões SOCKS (socks5h, socks5, socks4a)
     
3. Detecção de Tráfego .onion
   
   • Detectado novamente em ambos CommandLine and CommandHistory
     

A estrutura da árvore também separa AND a lógica das OR avaliações internas:

• Você só aciona um alerta quando todos os três ramos são satisfeitos: correspondência de processo, uso de proxy e referência de domínio .onion.

Valor no Mundo Real

Com esta árvore de decisão, os defensores podem interpretar instantaneamente o que esta detecção alvo and why:

• Identificar backdoors como Kalambur ou outros implantes usando curl.exe para interagir com serviços ocultos.
  
• Monitorar abuso de proxies e camadas de anonimização que podem ser usadas para contornar defesas de perímetro.
  

Identificar atividade pós-exploração que tenta se misturar com o comportamento legítimo de administração.

De Regex para Lógica Legível

O que antes parecia regex denso da CrowdStrike e condições aninhadas agora é visualmente transparente, graças ao Uncoder AI. Isso capacita:

• Triagem mais rápida de alertas baseados em curl
  
• Ajuste e validação mais fáceis de regras de detecção
  
• Transferência mais acessível entre caçadores de ameaças e respondedores de incidentes

Explore o Uncoder AI