« 启动文件夹中写入或修改快捷方式文件 软件更新首选项修改 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和告警 预构建规则参考

通过 MS 工作文件夹进行签名代理执行

编辑

通过 MS 工作文件夹进行签名代理执行

编辑

识别使用 Windows 工作文件夹在当前工作目录中执行潜在伪装的 control.exe 文件的情况。滥用 Windows 工作文件夹可能表明存在恶意活动。

规则类型: eql

规则索引:

  • winlogbeat-*
  • logs-windows.forwarded*
  • logs-windows.sysmon_operational-*
  • endgame-*
  • logs-system.security*
  • logs-m365_defender.event-*
  • logs-sentinel_one_cloud_funnel.*
  • logs-crowdstrike.fdr*

严重性: 中等

风险评分: 47

每隔: 5 分钟

搜索索引自: now-9m (日期数学格式,另见 附加回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

  • 领域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 战术:防御规避
  • 资源:调查指南
  • 数据源:Elastic Endgame
  • 数据源:系统
  • 数据源:Microsoft Defender for Endpoint
  • 数据源:Sysmon
  • 数据源:SentinelOne
  • 数据源:Crowdstrike

版本: 310

规则作者:

  • Elastic
  • Austin Songer

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查通过 MS 工作文件夹进行签名代理执行

工作文件夹是运行 Windows Server 的文件服务器的角色服务,它为用户提供了一种一致的方式来从他们的 PC 和设备访问他们的工作文件。这允许用户存储工作文件并从任何地方访问它们。当被调用时,工作文件夹会在访问同步共享之前自动执行任何名为 control.exe 的可移植执行文件 (PE) 作为参数。

使用工作文件夹执行伪装的 control.exe 可能会允许攻击者绕过应用程序控制并提升权限。

可能的调查步骤

  • 调查未知进程的进程执行链(父进程树)。检查其可执行文件是否存在,它们是否位于预期位置,以及它们是否使用有效的数字签名进行签名。
  • 检查 WorkFolders.exe 二进制文件的位置,以确定它是否被复制到 control.exe 二进制文件的位置。默认情况下,它位于 System32 目录中。
  • 跟踪与 control.exe 二进制文件相关的活动,以识别主机上任何持续的入侵活动。
  • 审查使用工作文件夹执行的 control.exe 二进制文件,以确定恶意行为,例如额外的主机活动或网络流量。
  • 确定 control.exe 是否已同步到同步共享,这表明潜在的横向移动。
  • 审查 control.exe 最初是如何在主机上交付的,例如通过电子邮件发送、从网络下载或从单独的二进制文件写入磁盘。

误报分析

  • 最终用户和管理员合法地使用 Windows 工作文件夹进行文件共享和同步,但在将可疑的 control.exe 作为参数的情况除外。

响应和补救

  • 根据分类结果启动事件响应流程。
  • 隔离相关主机以防止进一步的入侵后行为。
  • 检查工作文件夹同步共享以确定 control.exe 是否已共享,如果是,则将其删除。
  • 如果在调查期间未发现横向移动,则尽可能使受影响的主机脱机,并删除 control.exe 二进制文件以及调查期间识别的任何其他工件。
  • 审查集成 Windows 信息保护 (WIP) 以通过使用工作文件夹加密 PC 上的数据来强制执行数据保护。
  • 确认用户是否预期此行为,并重置其密码。

规则查询

编辑
process where host.os.type == "windows" and event.type == "start" and
  process.name : "control.exe" and process.parent.name : "WorkFolders.exe" and
  not process.executable : (
    "?:\\Windows\\System32\\control.exe",
    "?:\\Windows\\SysWOW64\\control.exe",
    "\\Device\\HarddiskVolume?\\Windows\\System32\\control.exe",
    "\\Device\\HarddiskVolume?\\Windows\\SysWOW64\\control.exe"
  )

框架: MITRE ATT&CKTM

« 启动文件夹中写入或修改快捷方式文件 软件更新首选项修改 »