通过 CcmExec 潜在的 Windows 会话劫持

编辑

通过 CcmExec 潜在的 Windows 会话劫持

编辑

此检测规则识别 SCNotification.exe 加载不受信任的 DLL 的情况，这可能是攻击者试图劫持/模拟 Windows 用户会话的潜在指标。

规则类型: eql

规则索引:

logs-endpoint.events.library-*

严重性: 中等

风险评分: 47

每隔: 5m

搜索索引自: now-9m (日期数学格式，另请参见 附加回溯时间)

每次执行的最大告警数: 100

参考:

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：防御规避
数据源：Elastic Defend

版本: 1

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

library where host.os.type == "windows" and process.name : "SCNotification.exe" and
  (dll.Ext.relative_file_creation_time < 86400 or dll.Ext.relative_file_name_modify_time <= 500) and dll.code_signature.status != "trusted"

框架: MITRE ATT&CK^TM

战术
- 名称：防御规避
- ID：TA0005
- 参考网址：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：劫持执行流程
- ID：T1574
- 参考网址：https://attack.mitre.org/techniques/T1574/

« 潜在的 Windows 错误管理器伪装潜在的 curl CVE-2023-38545 利用 »