« 通过 Netsh 启用主机网络发现 使用 WinRar 或 7z 加密文件 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

存储在注册表中的已编码可执行文件

编辑

存储在注册表中的已编码可执行文件编辑

识别对注册表写入修改以隐藏编码的可移植可执行文件。这可能表明攻击者通过避免将恶意内容直接存储在磁盘上来进行防御规避。

规则类型: eql

规则索引:

  • logs-endpoint.events.registry-*
  • endgame-*
  • logs-windows.sysmon_operational-*
  • logs-sentinel_one_cloud_funnel.*

严重程度: 中

风险评分: 47

运行频率: 5 分钟

搜索索引范围: now-9m (日期数学格式,另请参阅 其他回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

  • 域: 端点
  • 操作系统: Windows
  • 用例: 威胁检测
  • 策略: 防御规避
  • 数据源: Elastic Endgame
  • 数据源: Elastic Defend
  • 数据源: Sysmon
  • 数据源: SentinelOne

版本: 309

规则作者:

  • Elastic

规则许可证: Elastic 许可证 v2

规则查询编辑

registry where host.os.type == "windows" and
/* update here with encoding combinations */
 registry.data.strings : "TVqQAAMAAAAEAAAA*"

框架: MITRE ATT&CKTM

« 通过 Netsh 启用主机网络发现 使用 WinRar 或 7z 加密文件 »