通过 Ping 进行延迟执行

编辑

通过 Ping 进行延迟执行

编辑

识别通过延迟 Ping 执行来执行常用滥用 Windows 实用程序的行为。这种行为通常在恶意软件安装期间观察到，并且与攻击者试图逃避检测的行为一致。

规则类型: eql

规则索引:

logs-endpoint.events.process-*

严重性: 低

风险评分: 21

每隔: 5m

搜索索引自: now-9m (日期数学格式，另请参见 其他回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：执行
战术：防御规避
数据源：Elastic Defend

版本: 3

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

sequence by process.parent.entity_id with maxspan=1m
  [process where host.os.type == "windows" and event.action == "start" and process.name : "ping.exe" and
   process.args : "-n" and process.parent.name : "cmd.exe" and not user.id : "S-1-5-18"]
  [process where host.os.type == "windows" and event.action == "start" and
   process.parent.name : "cmd.exe" and
   (
        process.name : (
            "rundll32.exe", "powershell.exe",
            "mshta.exe", "msbuild.exe",
            "certutil.exe", "regsvr32.exe",
            "powershell.exe", "cscript.exe",
            "wscript.exe", "wmic.exe",
            "installutil.exe", "msxsl.exe",
            "Microsoft.Workflow.Compiler.exe",
            "ieexec.exe", "iexpress.exe",
            "RegAsm.exe", "installutil.exe",
            "RegSvcs.exe", "RegAsm.exe"
        ) or
        (process.executable : "?:\\Users\\*\\AppData\\*.exe" and not process.code_signature.trusted == true)
    ) and

    not process.args : ("?:\\Program Files\\*", "?:\\Program Files (x86)\\*") and
    not (process.name : ("openssl.exe", "httpcfg.exe", "certutil.exe") and process.parent.command_line : "*ScreenConnectConfigurator.cmd*") and
    not (process.pe.original_file_name : "DPInst.exe" and process.command_line : "driver\\DPInst_x64  /f ") and
    not (process.name : "powershell.exe" and process.args : "Write-Host ======*") and
    not (process.name : "wscript.exe" and process.args : "launchquiet_args.vbs" and process.parent.args : "?:\\Windows\\TempInst\\7z*") and
    not (process.name : "regsvr32.exe" and process.args : ("?:\\windows\\syswow64\\msxml?.dll", "msxml?.dll", "?:\\Windows\\SysWOW64\\mschrt20.ocx")) and
    not (process.name : "wscript.exe" and
         process.working_directory :
                    ("?:\\Windows\\TempInst\\*",
                     "?:\\Users\\*\\AppData\\Local\\Temp\\BackupBootstrapper\\Logs\\",
                     "?:\\Users\\*\\AppData\\Local\\Temp\\QBTools\\"))
    ]

框架: MITRE ATT&CK^TM

战术
- 名称：执行
- ID：TA0002
- 参考网址：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：命令和脚本解释器
- ID：T1059
- 参考网址：https://attack.mitre.org/techniques/T1059/
子技术
- 名称：PowerShell
- ID：T1059.001
- 参考网址：https://attack.mitre.org/techniques/T1059/001/
子技术
- 名称：Visual Basic
- ID：T1059.005
- 参考网址：https://attack.mitre.org/techniques/T1059/005/
战术
- 名称：防御规避
- ID：TA0005
- 参考网址：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：系统脚本代理执行
- ID：T1216
- 参考网址：https://attack.mitre.org/techniques/T1216/
技术
- 名称：系统二进制代理执行
- ID：T1218
- 参考网址：https://attack.mitre.org/techniques/T1218/
子技术
- 名称：CMSTP
- ID：T1218.003
- 参考网址：https://attack.mitre.org/techniques/T1218/003/
子技术
- 名称：InstallUtil
- ID：T1218.004
- 参考网址：https://attack.mitre.org/techniques/T1218/004/
子技术
- 名称：Mshta
- ID：T1218.005
- 参考网址：https://attack.mitre.org/techniques/T1218/005/
子技术
- 名称：Regsvcs/Regasm
- ID：T1218.009
- 参考网址：https://attack.mitre.org/techniques/T1218/009/
子技术
- 名称：Regsvr32
- ID：T1218.010
- 参考网址：https://attack.mitre.org/techniques/T1218/010/
子技术
- 名称：Rundll32
- ID：T1218.011
- 参考网址：https://attack.mitre.org/techniques/T1218/011/
技术
- 名称：XSL 脚本处理
- ID：T1220
- 参考网址：https://attack.mitre.org/techniques/T1220/
技术
- 名称：虚拟化/沙箱规避
- ID：T1497
- 参考网址：https://attack.mitre.org/techniques/T1497/
子技术
- 名称：基于时间规避
- ID：T1497.003
- 参考网址：https://attack.mitre.org/techniques/T1497/003/

« 默认 Cobalt Strike 团队服务器证书使用 Fsutil 删除卷 USN 日志 »