潜在的 PowerShell Pass-the-Hash/Relay 脚本

编辑

潜在的 PowerShell Pass-the-Hash/Relay 脚本

编辑

检测可以执行传递哈希 (PtH) 攻击、拦截和中继 NTLM 质询以及执行其他中间人 (MitM) 攻击的 PowerShell 脚本。

规则类型: 查询

规则索引:

winlogbeat-*
logs-windows.powershell*

严重性: 高

风险评分: 73

每隔: 5 分钟

搜索索引自: now-9m (日期数学格式，另请参阅 其他回溯时间)

每次执行的最大告警数: 100

参考:

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：凭据访问
资源：调查指南
数据源：PowerShell 日志

版本: 104

规则作者:

Elastic

规则许可证: Elastic License v2

设置

编辑

设置

必须启用PowerShell 脚本块日志记录日志记录策略。使用高级审核配置实施日志记录策略的步骤

Computer Configuration >
Administrative Templates >
Windows PowerShell >
Turn on PowerShell Script Block Logging (Enable)

通过注册表实施日志记录策略的步骤

reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

规则查询

编辑

event.category:process and host.os.type:windows and
  powershell.file.script_block_text : (
    ("NTLMSSPNegotiate" and ("NegotiateSMB" or "NegotiateSMB2")) or
    "4E544C4D53535000" or
    "0x4e,0x54,0x4c,0x4d,0x53,0x53,0x50" or
    "0x4e,0x54,0x20,0x4c,0x4d" or
    "0x53,0x4d,0x42,0x20,0x32" or
    "0x81,0xbb,0x7a,0x36,0x44,0x98,0xf1,0x35,0xad,0x32,0x98,0xf0,0x38"
  ) and
  not file.directory : "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads"

框架: MITRE ATT&CK^TM

战术
- 名称：凭据访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：中间人
- ID：T1557
- 参考网址：https://attack.mitre.org/techniques/T1557/
战术
- 名称：执行
- ID：TA0002
- 参考网址：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：命令和脚本解释器
- ID：T1059
- 参考网址：https://attack.mitre.org/techniques/T1059/
子技术
- 名称：PowerShell
- ID：T1059.001
- 参考网址：https://attack.mitre.org/techniques/T1059/001/
战术
- 名称：横向移动
- ID：TA0008
- 参考网址：https://attack.mitre.org/tactics/TA0008/
技术
- 名称：使用替代身份验证材料
- ID：T1550
- 参考网址：https://attack.mitre.org/techniques/T1550/
子技术
- 名称：传递哈希
- ID：T1550.002
- 参考网址：https://attack.mitre.org/techniques/T1550/002/

« 潜在的 PowerShell 混淆脚本通过本地主机安全复制潜在的隐私控制绕过 »