通过 RPC 创建远程计划任务

编辑

识别来自远程来源的计划任务创建。这可能是对手横向移动的迹象。

规则类型: eql

规则索引:

  • winlogbeat-*
  • logs-system.security*
  • logs-windows.forwarded*

严重性: 中等

风险评分: 47

每隔: 5 分钟

搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

  • 领域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 战术:横向移动
  • 数据源:系统

版本: 109

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查远程计划任务创建

计划任务 是持久性和程序执行的绝佳机制。这些功能可以出于各种合法原因远程使用,但同时也可以被恶意软件和攻击者利用。在调查远程设置的计划任务时,第一步应确定配置背后的原始意图,并验证活动是否与良性行为相关联,例如软件安装或任何类型的网络管理员工作。这些警报的一个目标是了解计划任务中配置的操作。此规则的注册表事件数据中捕获了此信息,并且可以对其进行 base64 解码以查看该值。

可能的调查步骤

  • 查看 TaskContent 值以调查配置的任务操作。
  • 验证活动是否与计划的修补程序、更新、网络管理员活动或合法软件安装无关。
  • 进一步检查应包括审查在源计算机和目标计算机上创建计划任务前后主机端工件和网络日志。

误报分析

  • 与远程计划任务的创建相关的良性活动可能性很高,因为它是 Windows 中的一般功能,并用于各种活动的合法用途。应找到任何类型的上下文以进一步了解活动的来源,并根据计划任务的内容确定其意图。

相关规则

  • 服务命令横向移动 - d61cbcf8-1bc1-4cff-85ba-e7b21c5beedc
  • 通过 RPC 远程启动的服务 - aa9a274d-6b53-424d-ac5e-cb8ca4251650
  • 远程计划任务创建 - 954ee7c8-5437-49ae-b2d6-2960883898e9

响应和补救

  • 根据分类的结果启动事件响应流程。
  • 隔离涉嫌主机以防止进一步的入侵后行为。
  • 删除计划任务和任何其他相关工件。
  • 审查特权帐户管理和用户帐户管理设置。考虑实施组策略对象 (GPO) 策略以进一步限制活动,或配置仅允许管理员创建远程计划任务的设置。

规则查询

编辑
iam where event.action == "scheduled-task-created" and
 winlog.event_data.RpcCallClientLocality : "0" and winlog.event_data.ClientProcessId : "0"

框架: MITRE ATT&CKTM