PowerShell脚本块日志记录已禁用

编辑

PowerShell脚本块日志记录已禁用

编辑

识别通过修改注册表禁用PowerShell脚本块日志记录的尝试。攻击者可能会禁用此日志记录以隐藏其在主机中的活动并逃避检测。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.registry-*
logs-windows.sysmon_operational-*
endgame-*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*

严重性: 中等

风险评分: 47

每隔: 5分钟

搜索索引自: now-9m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考:

https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.PowerShell::EnableScriptBlockLogging

标签:

领域：端点
操作系统：Windows
用例：威胁检测
战术：防御规避
资源：调查指南
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：Sysmon
数据源：Microsoft Defender for Endpoint
数据源：SentinelOne

版本: 310

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查PowerShell脚本块日志记录已禁用

PowerShell是系统管理员用于自动化、报表例程和其他任务的主要工具之一，使其可用于各种环境，并为攻击者执行代码创造了一种有吸引力的方式。

PowerShell脚本块日志记录是PowerShell的一项功能，它记录其处理的所有脚本块的内容，使防御者能够了解PowerShell脚本和已执行命令的序列。

可能的调查步骤

确定执行此操作的用户帐户以及该帐户是否应执行此类操作。
调查未知进程的进程执行链（父进程树）。检查其可执行文件的存在情况，它们是否位于预期位置，以及它们是否已使用有效的数字签名进行签名。
调查过去48小时内与用户/主机相关的其他警报。
检查用户使用PowerShell完成任务是否合理。
调查禁用日志记录后是否运行了PowerShell脚本。

误报分析

此活动不太可能合法发生。如有必要，可以将良性真阳性（B-TP）添加为例外。

相关规则

PowerShell可疑发现相关的Windows API函数 - 61ac3638-40a3-44b2-855a-985636ca985e
PowerShell键盘记录脚本 - bd2c86a0-8b61-4457-ab38-96943984e889
具有音频捕获功能的PowerShell可疑脚本 - 2f2f4939-0b34-40c2-a0a3-844eb7889f43
通过PowerShell进行的潜在进程注入 - 2e29e96a-b67c-455a-afe4-de6183431d0d
通过PowerShell进行的可疑.NET反射 - e26f042e-c590-4e82-8e05-41e81bd822ad
PowerShell可疑有效负载已编码和压缩 - 81fe9dc6-a2d7-4192-a2d8-eed98afc766a
具有屏幕截图功能的PowerShell可疑脚本 - 959a7353-1129-4aa7-9084-30746b256a70

响应和补救

根据分类结果启动事件响应流程。
隔离相关主机以防止进一步的入侵后行为。
检查分配给相关用户的权限，以确保遵循最小权限原则。
使用GPO、AppLocker、Intune或类似软件限制IT和工程业务部门以外的PowerShell使用。
运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始载体，并采取措施防止通过相同载体再次感染。
利用事件响应数据，更新日志记录和审计策略，以改进平均检测时间（MTTD）和平均响应时间（MTTR）。

规则查询

编辑

registry where host.os.type == "windows" and event.type == "change" and
    registry.path : (
        "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows\\PowerShell\\ScriptBlockLogging\\EnableScriptBlockLogging",
        "\\REGISTRY\\MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\PowerShell\\ScriptBlockLogging\\EnableScriptBlockLogging",
        "MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\PowerShell\\ScriptBlockLogging\\EnableScriptBlockLogging"
    ) and registry.data.strings : ("0", "0x00000000")

框架: MITRE ATT&CK^TM

战术
- 名称：防御规避
- ID：TA0005
- 参考网址：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：修改注册表
- ID：T1112
- 参考网址：https://attack.mitre.org/techniques/T1112/
技术
- 名称：削弱防御
- ID：T1562
- 参考网址：https://attack.mitre.org/techniques/T1562/
子技术
- 名称：禁用Windows事件日志记录
- ID：T1562.002
- 参考网址：https://attack.mitre.org/techniques/T1562/002/

« PowerShell PSReflect脚本具有存档压缩功能的PowerShell脚本 »