Microsoft Exchange Server UM 编写可疑文件

编辑

Microsoft Exchange Server UM 编写可疑文件

编辑

识别 Microsoft Exchange Server 统一消息 (UM) 服务编写的可疑文件。此活动已被观察到利用 CVE-2021-26858。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.file-*
logs-windows.sysmon_operational-*
endgame-*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*

严重性: 中等

风险评分: 47

每隔: 5 分钟

搜索索引自: now-9m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

领域：端点
操作系统：Windows
用例：威胁检测
策略：初始访问
策略：横向移动
数据来源：Elastic Endgame
用例：漏洞
数据来源：Elastic Defend
数据来源：Sysmon
数据来源：Microsoft Defender for Endpoint
数据来源：SentinelOne

版本: 308

规则作者:

Elastic
Austin Songer

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

可以根据已建立的 Microsoft 基线检查积极命中。

Microsoft 强烈建议最佳做法是打补丁，但这可能无法保护已受感染的系统免受现有入侵的侵害。可在其 Exchange 支持存储库中找到用于检测和缓解的其他工具。

规则查询

编辑

file where host.os.type == "windows" and event.type == "creation" and
  process.name : ("UMWorkerProcess.exe", "umservice.exe") and
  file.extension : ("php", "jsp", "js", "aspx", "asmx", "asax", "cfm", "shtml") and
  (
    file.path : "?:\\inetpub\\wwwroot\\aspnet_client\\*" or

    (file.path : "?:\\*\\Microsoft\\Exchange Server*\\FrontEnd\\HttpProxy\\owa\\auth\\*" and
       not (file.path : "?:\\*\\Microsoft\\Exchange Server*\\FrontEnd\\HttpProxy\\owa\\auth\\version\\*" or
            file.name : ("errorFE.aspx", "expiredpassword.aspx", "frowny.aspx", "GetIdToken.htm", "logoff.aspx",
                        "logon.aspx", "OutlookCN.aspx", "RedirSuiteServiceProxy.aspx", "signout.aspx"))) or

    (file.path : "?:\\*\\Microsoft\\Exchange Server*\\FrontEnd\\HttpProxy\\ecp\\auth\\*" and
       not file.name : "TimeoutLogoff.aspx")
  )

框架: MITRE ATT&CK^TM

策略
- 名称：初始访问
- ID：TA0001
- 参考网址：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：利用面向公众的应用程序
- ID：T1190
- 参考网址：https://attack.mitre.org/techniques/T1190/
策略
- 名称：横向移动
- ID：TA0008
- 参考网址：https://attack.mitre.org/tactics/TA0008/
技术
- 名称：远程服务的利用
- ID：T1210
- 参考网址：https://attack.mitre.org/techniques/T1210/

« Microsoft Exchange Server UM 生成可疑进程 Microsoft Exchange 传输代理安装脚本 »