通过 WMI 执行可疑 Cmd 命令

编辑

通过 WMI 执行可疑 Cmd 命令

编辑

识别通过 Windows 管理规范 (WMI) 在远程主机上执行可疑命令 (cmd) 的行为。这可能是对手横向移动的迹象。

规则类型: eql

规则索引:

logs-endpoint.events.process-*
winlogbeat-*
logs-windows.forwarded*
logs-windows.sysmon_operational-*
endgame-*
logs-system.security*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*
logs-crowdstrike.fdr*

严重性: 中等

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

领域：终端
操作系统：Windows
用例：威胁检测
战术：执行
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：系统
数据源：Microsoft Defender for Endpoint
数据源：Sysmon
数据源：SentinelOne
数据源：Crowdstrike

版本: 314

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where host.os.type == "windows" and event.type == "start" and
 process.parent.name : "WmiPrvSE.exe" and process.name : "cmd.exe" and
 process.args : "\\\\127.0.0.1\\*" and process.args : ("2>&1", "1>")

框架: MITRE ATT&CK^TM

战术
- 名称：执行
- ID：TA0002
- 参考网址：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：Windows 管理规范
- ID：T1047
- 参考网址：https://attack.mitre.org/techniques/T1047/
技术
- 名称：命令和脚本解释器
- ID：T1059
- 参考网址：https://attack.mitre.org/techniques/T1059/
子技术
- 名称：Windows 命令外壳
- ID：T1059.003
- 参考网址：https://attack.mitre.org/techniques/T1059/003/

« Adobe Acrobat Reader 更新服务的可疑子进程可疑通信应用程序子进程 »