› › ›

通过 COM 远程执行 XSL 脚本

编辑

通过 COM 远程执行 XSL 脚本

编辑

识别使用 Microsoft.XMLDOM COM 接口通过 Microsoft Office 进程执行托管 XSL 脚本的行为。此行为可能表明恶意活动意图在系统上执行恶意 JScript 或 VBScript。

规则类型: eql

规则索引:

logs-endpoint.events.process-*
logs-endpoint.events.library-*

严重性: 低

风险评分: 21

每隔: 5 分钟

搜索索引自: now-9m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

领域: 端点
操作系统: Windows
用例: 威胁检测
策略: 初始访问
策略: 防御规避
数据源: Elastic Defend

版本: 3

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

sequence with maxspan=1m
 [library where host.os.type == "windows" and dll.name : "msxml3.dll" and
  process.name : ("winword.exe", "excel.exe", "powerpnt.exe", "mspub.exe")] by process.entity_id
 [process where host.os.type == "windows" and event.action == "start" and
  process.parent.name : ("winword.exe", "excel.exe", "powerpnt.exe", "mspub.exe") and
  not process.executable :
        ("?:\\Windows\\System32\\WerFault.exe",
         "?:\\Windows\\SysWoW64\\WerFault.exe",
         "?:\\windows\\splwow64.exe",
         "?:\\Windows\\System32\\conhost.exe",
         "?:\\Program Files\\*.exe",
         "?:\\Program Files (x86)\\*exe")] by process.parent.entity_id

框架: MITRE ATT&CK^TM

策略
- 名称: 初始访问
- ID: TA0001
- 参考网址: https://attack.mitre.org/tactics/TA0001/
技术
- 名称: 网络钓鱼
- ID: T1566
- 参考网址: https://attack.mitre.org/techniques/T1566/
子技术
- 名称: 矛头式钓鱼链接
- ID: T1566.002
- 参考网址: https://attack.mitre.org/techniques/T1566/002/
策略
- 名称: 防御规避
- ID: TA0005
- 参考网址: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: XSL 脚本处理
- ID: T1220
- 参考网址: https://attack.mitre.org/techniques/T1220/

« 远程安装的 Windows 服务通过 RPC 远程启动的服务 »