› › ›

潜在的Foxmail漏洞利用

编辑

潜在的Foxmail漏洞利用

编辑

识别Foxmail客户端生成子进程，其参数指向Foxmail临时目录。这可能表明成功利用Foxmail漏洞进行初始访问和执行（通过恶意电子邮件）。

规则类型: eql

规则索引:

winlogbeat-*
logs-windows.*
endgame-*
logs-system.security*
logs-windows.sysmon_operational-*
logs-sentinel_one_cloud_funnel.*
logs-m365_defender.event-*
logs-endpoint.events.process-*
logs-crowdstrike.fdr*

严重性: 高

风险评分: 73

运行频率: 5分钟

搜索索引时间范围: now-9m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

https://mp.weixin.qq.com/s/F8hNyESBdKhwXkQPgtGpew

标签:

领域: 端点
操作系统: Windows
用例: 威胁检测
战术: 初始访问
战术: 执行
数据源: Elastic Defend
数据源: Sysmon
数据源: 系统
数据源: Elastic Endgame
数据源: SentinelOne
数据源: Microsoft Defender for Endpoint
数据源: Crowdstrike

版本: 202

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where host.os.type == "windows" and event.type == "start" and
 process.parent.name : "Foxmail.exe" and process.args : ("?:\\Users\\*\\AppData\\*", "\\\\*")

框架: MITRE ATT&CK^TM

战术
- 名称: 执行
- ID: TA0002
- 参考网址: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 利用客户端执行
- ID: T1203
- 参考网址: https://attack.mitre.org/techniques/T1203/
战术
- 名称: 初始访问
- ID: TA0001
- 参考网址: https://attack.mitre.org/tactics/TA0001/
技术
- 名称: 驱动式入侵
- ID: T1189
- 参考网址: https://attack.mitre.org/techniques/T1189/

« 通过Certreq进行潜在的文件传输潜在的十六进制有效负载执行 »