潜在的 Veeam 凭据访问命令

编辑

潜在的 Veeam 凭据访问命令

编辑

识别可以访问和解密存储在 MSSQL 数据库中的 Veeam 凭据的命令。攻击者可以使用 Veeam 凭据作为目标备份，作为破坏性操作（例如勒索软件攻击）的一部分。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-windows.forwarded*
logs-windows.sysmon_operational-*
endgame-*
logs-system.security*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*
logs-crowdstrike.fdr*

严重性: 中等

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

https://thedfirreport.com/2021/12/13/diavol-ransomware/

标签:

领域：端点
操作系统：Windows
用例：威胁检测
策略：防御规避
策略：凭据访问
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：系统
数据源：Microsoft Defender for Endpoint
数据源：Sysmon
数据源：SentinelOne
数据源：Crowdstrike

版本: 203

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where host.os.type == "windows" and event.type == "start" and
  (
    (process.name : "sqlcmd.exe" or ?process.pe.original_file_name : "sqlcmd.exe") or
    process.args : ("Invoke-Sqlcmd", "Invoke-SqlExecute", "Invoke-DbaQuery", "Invoke-SqlQuery")
  ) and
  process.args : "*[VeeamBackup].[dbo].[Credentials]*"

框架: MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：操作系统凭据转储
- ID：T1003
- 参考网址：https://attack.mitre.org/techniques/T1003/
技术
- 名称：密码存储中的凭据
- ID：T1555
- 参考网址：https://attack.mitre.org/techniques/T1555/
策略
- 名称：执行
- ID：TA0002
- 参考网址：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：命令和脚本解释器
- ID：T1059
- 参考网址：https://attack.mitre.org/techniques/T1059/
子技术
- 名称：PowerShell
- ID：T1059.001
- 参考网址：https://attack.mitre.org/techniques/T1059/001/

« 潜在的非交互式 Shell 升级通过 DNS 记录创建进行潜在的 WPAD 欺骗 »