« SMB(Windows 文件共享)活动到互联网 26/TCP 端口上的 SMTP »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和告警 预构建规则参考

通过 LOLBin 或不受信任的进程进行 SMB 连接

编辑

通过 LOLBin 或不受信任的进程进行 SMB 连接

编辑

识别潜在可疑进程,这些进程不是受信任的进程或利用本地权限提升漏洞的二进制文件 (LOLBin),通过 445 端口进行服务器消息块 (SMB) 网络连接。Windows 文件共享通常通过 SMB 实现,后者使用 445 端口在主机之间进行通信。合法连接通常由内核 (PID 4) 建立。此规则有助于检测可能为端口扫描程序、漏洞利用程序或试图通过利用 SMB 连接在网络中进行横向移动的用户级进程。

规则类型: eql

规则索引:

  • logs-endpoint.events.process-*
  • logs-endpoint.events.network-*

严重性: 中等

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式,另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

  • 领域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:横向移动
  • 资源:调查指南
  • 数据源:Elastic Defend

版本: 112

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

性能

由于需要过滤 LOLBins 进程启动,然后过滤 445 端口上的网络连接,因此此规则的性能影响可能较低到中等。应用了额外的过滤条件以减少匹配事件的数量并提高性能。

调查不受信任的非 Microsoft 或 LOLBin SMB 连接

此规则查找通过 445 端口进行网络连接的意外进程或 LOLBins。Windows 文件共享通常通过服务器消息块 (SMB) 实现,后者使用 445 端口在主机之间进行通信。在合法情况下,这些网络连接由内核 (PID 4) 建立。非系统进程使用此端口的情况可能表示端口扫描程序、漏洞利用程序以及用于在环境中横向移动的工具。

注意: 此调查指南使用 Elastic Stack 8.5.0 版中引入的 Osquery Markdown 插件。较旧的 Elastic Stack 版本将在此指南中显示未呈现的 Markdown。

可能的调查步骤

  • 调查未知进程的进程执行链(父进程树)。检查其可执行文件的存在情况,它们是否位于预期位置,以及它们是否使用有效的数字签名进行了签名。
  • 调查过去 48 小时内与用户/主机关联的其他告警。
  • 联系帐户所有者,并确认他们是否知道此活动。
  • 调查目标进程的任何异常行为,例如网络连接、注册表或文件修改以及任何生成的子进程。
  • 检查主机是否存在表明可疑活动的派生工件
  • 使用私有沙盒分析系统分析进程可执行文件。
  • 观察并收集有关沙盒和告警目标主机中以下活动的信息
  • 尝试联系外部域和地址。
  • 使用 Elastic Defend 网络事件,通过按进程的 process.entity_id 过滤来确定目标进程联系的域和地址。
  • 检查 DNS 缓存中是否存在可疑或异常条目。
  • !{osquery{"label":"Osquery - 获取 DNS 缓存","query":"SELECT * FROM dns_cache"}}
  • 使用 Elastic Defend 注册表事件检查进程树中相关进程访问、修改或创建的注册表项。
  • 检查主机服务中是否存在可疑或异常条目。
  • !{osquery{"label":"Osquery - 获取所有服务","query":"SELECT description, display_name, name, path, pid, service_type, start_type, status, user_account FROM services"}}
  • !{osquery{"label":"Osquery - 获取在用户帐户上运行的服务","query":"SELECT description, display_name, name, path, pid, service_type, start_type, status, user_account FROM services WHERE\nNOT (user_account LIKE %LocalSystem OR user_account LIKE %LocalService OR user_account LIKE %NetworkService OR\nuser_account == null)\n"}}
  • !{osquery{"label":"Osquery - 获取带有 VirusTotal 链接的未签名可执行服务","query":"SELECT concat(https://www.virustotal.com/gui/file/, sha1) AS VtLink, name, description, start_type, status, pid,\nservices.path FROM services JOIN authenticode ON services.path = authenticode.path OR services.module_path =\nauthenticode.path JOIN hash ON services.path = hash.path WHERE authenticode.result != trusted\n"}}
  • 使用 PowerShell Get-FileHash cmdlet 获取文件的 SHA-256 哈希值,并在 VirusTotal、Hybrid-Analysis、CISCO Talos、Any.run 等资源中搜索哈希的存在性和信誉。
  • 调查可能受损的帐户。分析人员可以通过搜索注册表修改后的目标主机的登录事件(例如,4624)来做到这一点。

误报分析

  • 如果由于预期活动导致此规则在您的环境中产生大量噪声,请考虑添加例外情况 — 最好结合用户和命令行条件。
  • 在混合环境中,如果在 Azure 中执行操作,则 SMB 可能会用于合法目的。在这种情况下,请考虑为已知的 Azure 服务和操作添加例外情况。

响应和补救

  • 根据分类结果启动事件响应流程。
  • 隔离相关主机以防止进一步的入侵后行为。
  • 如果分类识别出恶意软件,请搜索环境中是否存在其他受损主机。
  • 实施临时网络规则、流程和分段以遏制恶意软件。
  • 停止可疑进程。
  • 立即阻止已识别的入侵指标 (IoC)。
  • 检查受影响的系统是否存在其他恶意软件后门,例如反向 shell、反向代理或攻击者可能用来重新感染系统的 dropper。
  • 删除并阻止在分类期间识别的恶意工件。
  • 运行完整的反恶意软件扫描。这可能会发现系统中留下的其他工件、持久性机制和恶意软件组件。
  • 确定攻击者滥用的初始载体,并采取措施防止通过相同载体再次感染。
  • 使用事件响应数据更新日志记录和审计策略,以改进平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑
sequence by process.entity_id with maxspan=1m

  /* first sequence to capture the start of Windows processes */
  [process where host.os.type == "windows" and event.type == "start" and process.pid != 4 and

    /* ignore NT Authority and Network Service accounts */
    not user.id : ("S-1-5-19", "S-1-5-20") and

    /* filter out anything trusted but not from Microsoft */
    /* LOLBins will be inherently trusted and signed, so ignore everything else trusted */
    not (process.code_signature.trusted == true and not startsWith(process.code_signature.subject_name, "Microsoft")) and

    /* filter out PowerShell scripts from Windows Defender ATP */
    not (
      process.name : "powershell.exe" and
      process.args :"?:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Downloads\\PSScript_*.ps1")]

  /* second sequence to capture network connections over port 445 related to SMB */
  [network where host.os.type == "windows" and destination.port == 445 and process.pid != 4]

/* end the sequence when the process ends where joining was on process.entity_id */
until [process where host.os.type == "windows" and event.type == "end"]

框架: MITRE ATT&CKTM

« SMB(Windows 文件共享)活动到互联网 26/TCP 端口上的 SMTP »