« 通过 systemsetup 命令启用远程 SSH 登录 通过 RPC 创建远程计划任务 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和告警 预构建规则参考

远程计划任务创建

编辑

远程计划任务创建

编辑

识别目标主机上的远程计划任务创建。这可能是攻击者横向移动的迹象。

规则类型: eql

规则索引:

  • logs-endpoint.events.registry-*
  • logs-endpoint.events.network-*
  • winlogbeat-*
  • logs-windows.sysmon_operational-*

严重性: 中等

风险评分: 47

每隔: 5 分钟

搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

  • 领域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:横向移动
  • 资源:调查指南
  • 数据源:Elastic Defend
  • 数据源:Sysmon

版本: 210

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查远程计划任务创建

计划任务是持久性和程序执行的绝佳机制。这些功能可出于各种合法原因远程使用,但同时也可被恶意软件和攻击者利用。在调查远程设置的计划任务时,第一步应确定配置背后的原始意图,并验证活动是否与良性行为(例如软件安装或任何类型的网络管理员工作)相关联。这些警报的目标之一是了解计划任务中配置的操作。此规则的注册表事件数据中捕获了此信息,并且可以对其进行 base64 解码以查看值。

可能的调查步骤

  • 查看 base64 编码的任务操作注册表值以调查配置的任务操作。
  • 验证活动是否与计划的修补程序、更新、网络管理员活动或合法软件安装无关。
  • 进一步检查应包括审查在源计算机和目标计算机上创建计划任务前后主机端工件和网络日志。

误报分析

  • 远程计划任务的创建可能与良性活动高度相关,因为它是在 Windows 中的一般功能,并用于各种活动的合法目的。应找到任何类型的上下文以进一步了解活动的来源,并根据计划任务的内容确定其意图。

相关规则

  • 服务命令横向移动 - d61cbcf8-1bc1-4cff-85ba-e7b21c5beedc
  • 通过 RPC 远程启动的服务 - aa9a274d-6b53-424d-ac5e-cb8ca4251650

响应和补救

  • 根据分类结果启动事件响应流程。
  • 隔离相关主机以防止进一步的入侵后行为。
  • 删除计划任务和任何其他相关工件。
  • 检查特权帐户管理和用户帐户管理设置。考虑实施组策略对象 (GPO) 策略以进一步限制活动,或配置仅允许管理员创建远程计划任务的设置。

规则查询

编辑
/* Task Scheduler service incoming connection followed by TaskCache registry modification  */

sequence by host.id, process.entity_id with maxspan = 1m
   [network where host.os.type == "windows" and process.name : "svchost.exe" and
   network.direction : ("incoming", "ingress") and source.port >= 49152 and destination.port >= 49152 and
   source.ip != "127.0.0.1" and source.ip != "::1"
   ]
   [registry where host.os.type == "windows" and event.type == "change" and registry.value : "Actions" and
    registry.path : "HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tasks\\*\\Actions"]

框架: MITRE ATT&CKTM

« 通过 systemsetup 命令启用远程 SSH 登录 通过 RPC 创建远程计划任务 »