› › ›

通过 Windows 子系统 Linux (WSL) 进行主机文件系统更改

编辑

通过 Windows 子系统 Linux (WSL) 进行主机文件系统更改

编辑

检测来自 Windows 子系统 Linux 对主机系统文件的创建和修改操作。攻击者可能会启用并使用 WSL for Linux 来逃避检测。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-endpoint.events.file-*
logs-windows.sysmon_operational-*

严重性: 中等

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考:

https://github.com/microsoft/WSL

标签:

领域：端点
操作系统：Windows
用例：威胁检测
战术：防御规避
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：Sysmon

版本: 107

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

sequence by process.entity_id with maxspan=5m
 [process where host.os.type == "windows" and event.type == "start" and
  process.name : "dllhost.exe" and
   /* Plan9FileSystem CLSID - WSL Host File System Worker */
  process.command_line : "*{DFB65C4C-B34F-435D-AFE9-A86218684AA8}*"]
 [file where host.os.type == "windows" and process.name : "dllhost.exe" and not file.path : "?:\\Users\\*\\Downloads\\*"]

框架: MITRE ATT&CK^TM

战术
- 名称：防御规避
- ID：TA0005
- 参考链接：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：间接命令执行
- ID：T1202
- 参考链接：https://attack.mitre.org/techniques/T1202/

« RDP 会话持续时间差异大 Hosts 文件被修改 »