› › ›

从 Google Drive 下载可疑文件

编辑

从 Google Drive 下载可疑文件

编辑

识别从 Google Drive URL 下载可疑文件的活动。这可能表示试图通过可信的 Web 服务传递钓鱼有效负载。

规则类型: eql

规则索引:

auditbeat-*
logs-endpoint*
logs-system.security*
winlogbeat-*

严重性: 中等

风险评分: 47

每: 5 分钟运行一次

搜索索引自: now-9m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

https://intelligence.abnormalsecurity.com/blog/google-drive-matanbuchus-malware

标签:

领域：端点
操作系统：Linux
操作系统：Windows
操作系统：macOS
用例：威胁检测
策略：命令与控制
数据源：系统

版本: 4

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where

    /* common browser processes  */
    event.action in ("exec", "fork", "start") and

    process.name : ("Microsoft Edge", "chrome.exe", "Google Chrome", "google-chrome-stable",
                    "google-chrome-beta", "google-chrome", "msedge.exe", "firefox.exe", "brave.exe",
                    "whale.exe", "browser.exe", "dragon.exe", "vivaldi.exe", "opera.exe", "firefox",
                    "powershell.exe", "curl", "curl.exe", "wget", "wget.exe") and

    /* Look for Google Drive download URL with AV flag skipping */
    (process.command_line : "*drive.google.com*" and process.command_line : "*export=download*" and process.command_line : "*confirm=no_antivirus*")

框架: MITRE ATT&CK^TM

策略
- 名称：命令与控制
- ID：TA0011
- 参考 URL：https://attack.mitre.org/tactics/TA0011/
技术
- 名称：入口工具传输
- ID：T1105
- 参考 URL：https://attack.mitre.org/techniques/T1105/

« 通过 Kworker 创建可疑文件通过 SMB 重命名可疑文件 »