首次发现常用滥用远程访问工具执行

攻击者可能会将合法的远程访问工具 (RAT) 安装到受感染的端点，以进行进一步的命令和控制 (C2)。攻击者可以依靠已安装的 RAT 来实现持久性、执行本地命令等。此规则检测到启动的进程名称或代码签名类似于常用滥用 RAT 的情况。这是一种“新术语”规则类型，表明主机在过去 30 天内从未见过此 RAT 进程启动。

规则类型: new_terms

规则索引:

logs-endpoint.events.process-*
endgame-*
winlogbeat-*
logs-windows.*
logs-system.security*

严重性: 中等

风险评分: 47

每: 5 分钟运行一次

搜索索引自: now-9m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

领域：端点
操作系统：Windows
用例：威胁检测
策略：命令和控制
资源：调查指南
数据源：Elastic Defend
数据源：Elastic Endgame
数据源：系统

版本: 108

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查首次发现常用滥用远程访问工具执行

远程访问软件是一类常用工具，IT 部门通常使用它们通过安全连接到用户的计算机来提供支持。远程访问市场不断发展壮大，新的公司不断提供快速访问远程系统的新方法。

与 IT 部门采用这些工具的速度一样，攻击者也将其作为工作流程的一部分，以连接到交互式会话，使用合法软件作为持久性机制来维持访问，投放恶意软件等。

此规则检测到在过去 15 天内环境中首次出现远程访问工具的情况，使分析师能够调查并强制执行此类工具的正确使用。

可能的调查步骤

调查未知进程的进程执行链（父进程树）。检查其可执行文件的使用情况，它们是否位于预期位置，以及它们是否已使用有效的数字签名进行签名。
检查组织的 IT 部门是否批准执行远程访问工具。
调查过去 48 小时内与用户/主机相关的其他警报。
联系帐户所有者，确认他们是否知道此活动。
如果组织未批准使用该工具，则员工可能被诱骗安装该工具并向恶意第三方提供访问权限。调查该第三方是否试图欺骗最终用户或通过社会工程攻击获取环境的访问权限。
调查主题进程的任何异常行为，例如网络连接、注册表或文件修改以及任何生成的子进程。

误报分析

如果授权的支持人员或管理员使用该工具进行合法的支持或远程访问，请考虑加强仅应使用 IT 策略批准的工具这一规定。如果未观察到涉及主机或用户的其他可疑行为，则分析师可以驳回警报。

响应和补救

根据分类结果启动事件响应流程。
隔离相关主机以防止进一步的入侵后行为。
使用已有的反恶意软件工具运行完全扫描。此扫描可以揭示系统中留下的其他工件、持久性机制和恶意软件组件。
调查攻击者入侵或使用的系统上的凭据泄露，以确保识别所有受影响的帐户。重置这些帐户以及其他可能受影响的凭据（如电子邮件、业务系统和 Web 服务）的密码。
如果未经授权的第三方通过社会工程进行了访问，请考虑改进安全意识培训计划。
强制执行仅应由授权员工使用 IT 策略批准的工具进行远程访问。
使用事件响应数据，更新日志记录和审核策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑

host.os.type: "windows" and

   event.category: "process" and event.type : "start" and

    (
        process.code_signature.subject_name : (
            "Action1 Corporation" or
            "AeroAdmin LLC" or
            "Ammyy LLC" or
            "Atera Networks Ltd" or
            "AWERAY PTE. LTD." or
            "BeamYourScreen GmbH" or
            "Bomgar Corporation" or
            "DUC FABULOUS CO.,LTD" or
            "DOMOTZ INC." or
            "DWSNET OÜ" or
            "FleetDeck Inc" or
            "GlavSoft LLC" or
            "GlavSoft LLC." or
            "Hefei Pingbo Network Technology Co. Ltd" or
            "IDrive, Inc." or
            "IMPERO SOLUTIONS LIMITED" or
            "Instant Housecall" or
            "ISL Online Ltd." or
            "LogMeIn, Inc." or
            "Monitoring Client" or
            "MMSOFT Design Ltd." or
            "Nanosystems S.r.l." or
            "NetSupport Ltd" or
            "NinjaRMM, LLC" or
            "Parallels International GmbH" or
            "philandro Software GmbH" or
            "Pro Softnet Corporation" or
            "RealVNC" or
            "RealVNC Limited" or
            "BreakingSecurity.net" or
            "Remote Utilities LLC" or
            "Rocket Software, Inc." or
            "SAFIB" or
            "Servably, Inc." or
            "ShowMyPC INC" or
            "Splashtop Inc." or
            "Superops Inc." or
            "TeamViewer" or
            "TeamViewer GmbH" or
            "TeamViewer Germany GmbH" or
            "Techinline Limited" or
            "uvnc bvba" or
            "Yakhnovets Denis Aleksandrovich IP" or
            "Zhou Huabing"
        ) or

        process.name.caseless : (
            AA_v*.exe or
            "AeroAdmin.exe" or
            "AnyDesk.exe" or
            "apc_Admin.exe" or
            "apc_host.exe" or
            "AteraAgent.exe" or
            aweray_remote*.exe or
            "AweSun.exe" or
            "B4-Service.exe" or
            "BASupSrvc.exe" or
            "bomgar-scc.exe" or
            "domotzagent.exe" or
            "domotz-windows-x64-10.exe" or
            "dwagsvc.exe" or
            "DWRCC.exe" or
            "ImperoClientSVC.exe" or
            "ImperoServerSVC.exe" or
            "ISLLight.exe" or
            "ISLLightClient.exe" or
            fleetdeck_commander*.exe or
            "getscreen.exe" or
            "LMIIgnition.exe" or
            "LogMeIn.exe" or
            "ManageEngine_Remote_Access_Plus.exe" or
            "Mikogo-Service.exe" or
            "NinjaRMMAgent.exe" or
            "NinjaRMMAgenPatcher.exe" or
            "ninjarmm-cli.exe" or
            "r_server.exe" or
            "radmin.exe" or
            "radmin3.exe" or
            "RCClient.exe" or
            "RCService.exe" or
            "RemoteDesktopManager.exe" or
            "RemotePC.exe" or
            "RemotePCDesktop.exe" or
            "RemotePCService.exe" or
            "rfusclient.exe" or
            "ROMServer.exe" or
            "ROMViewer.exe" or
            "RPCSuite.exe" or
            "rserver3.exe" or
            "rustdesk.exe" or
            "rutserv.exe" or
            "rutview.exe" or
            "saazapsc.exe" or
            ScreenConnect*.exe or
            "smpcview.exe" or
            "spclink.exe" or
            "Splashtop-streamer.exe" or
            "SRService.exe" or
            "strwinclt.exe" or
            "Supremo.exe" or
            "SupremoService.exe" or
            "teamviewer.exe" or
            "TiClientCore.exe" or
            "TSClient.exe" or
            "tvn.exe" or
            "tvnserver.exe" or
            "tvnviewer.exe" or
            UltraVNC*.exe or
            UltraViewer*.exe or
            "vncserver.exe" or
            "vncviewer.exe" or
            "winvnc.exe" or
            "winwvc.exe" or
            "Zaservice.exe" or
            "ZohoURS.exe"
        ) or
        process.name : (
            AA_v*.exe or
            "AeroAdmin.exe" or
            "AnyDesk.exe" or
            "apc_Admin.exe" or
            "apc_host.exe" or
            "AteraAgent.exe" or
            aweray_remote*.exe or
            "AweSun.exe" or
            "B4-Service.exe" or
            "BASupSrvc.exe" or
            "bomgar-scc.exe" or
            "domotzagent.exe" or
            "domotz-windows-x64-10.exe" or
            "dwagsvc.exe" or
            "DWRCC.exe" or
            "ImperoClientSVC.exe" or
            "ImperoServerSVC.exe" or
            "ISLLight.exe" or
            "ISLLightClient.exe" or
            fleetdeck_commander*.exe or
            "getscreen.exe" or
            "LMIIgnition.exe" or
            "LogMeIn.exe" or
            "ManageEngine_Remote_Access_Plus.exe" or
            "Mikogo-Service.exe" or
            "NinjaRMMAgent.exe" or
            "NinjaRMMAgenPatcher.exe" or
            "ninjarmm-cli.exe" or
            "r_server.exe" or
            "radmin.exe" or
            "radmin3.exe" or
            "RCClient.exe" or
            "RCService.exe" or
            "RemoteDesktopManager.exe" or
            "RemotePC.exe" or
            "RemotePCDesktop.exe" or
            "RemotePCService.exe" or
            "rfusclient.exe" or
            "ROMServer.exe" or
            "ROMViewer.exe" or
            "RPCSuite.exe" or
            "rserver3.exe" or
            "rustdesk.exe" or
            "rutserv.exe" or
            "rutview.exe" or
            "saazapsc.exe" or
            ScreenConnect*.exe or
            "smpcview.exe" or
            "spclink.exe" or
            "Splashtop-streamer.exe" or
            "SRService.exe" or
            "strwinclt.exe" or
            "Supremo.exe" or
            "SupremoService.exe" or
            "teamviewer.exe" or
            "TiClientCore.exe" or
            "TSClient.exe" or
            "tvn.exe" or
            "tvnserver.exe" or
            "tvnviewer.exe" or
            UltraVNC*.exe or
            UltraViewer*.exe or
            "vncserver.exe" or
            "vncviewer.exe" or
            "winvnc.exe" or
            "winwvc.exe" or
            "Zaservice.exe" or
            "ZohoURS.exe"
        )
	) and

	not (process.pe.original_file_name : ("G2M.exe" or "Updater.exe" or "powershell.exe") and process.code_signature.subject_name : "LogMeIn, Inc.")

框架: MITRE ATT&CK^TM

策略
- 名称：命令和控制
- ID：TA0011
- 参考网址：https://attack.mitre.org/tactics/TA0011/
技术
- 名称：远程访问软件
- ID：T1219
- 参考网址：https://attack.mitre.org/techniques/T1219/

« 首次发现 Secrets Manager 中访问 AWS 密钥值首次发现加载驱动程序 »