› › ›

通过 Outlook 的可疑进程间通信

编辑

通过 Outlook 的可疑进程间通信

编辑

检测通过组件对象模型 (Component Object Model) 从异常进程与 Outlook 进行进程间通信的情况。攻击者可能会以用户电子邮件为目标，收集敏感信息或通过 API 代表他们发送电子邮件。

规则类型: eql

规则索引:

logs-endpoint.events.process*

严重性: 中等

风险评分: 47

每隔: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考:

https://github.com/center-for-threat-informed-defense/adversary_emulation_library/blob/master/apt29/Archive/CALDERA_DIY/evals/payloads/stepSeventeen_email.ps1

标签:

领域：终端
操作系统：Windows
用例：威胁检测
战术：收集
数据源：Elastic Defend

版本: 7

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

sequence with maxspan=1m
[process where host.os.type == "windows" and event.action == "start" and
  (
    process.name : (
      "rundll32.exe", "mshta.exe", "powershell.exe", "pwsh.exe",
      "cmd.exe", "regsvr32.exe", "cscript.exe", "wscript.exe"
    ) or
    (
      (process.code_signature.trusted == false or process.code_signature.exists == false) and
      (process.Ext.relative_file_creation_time <= 500 or process.Ext.relative_file_name_modify_time <= 500)
    )
  )
] by process.entity_id
[process where host.os.type == "windows" and event.action == "start" and process.name : "OUTLOOK.EXE" and
  process.Ext.effective_parent.name != null] by process.Ext.effective_parent.entity_id

框架: MITRE ATT&CK^TM

战术
- 名称：收集
- ID：TA0009
- 参考网址：https://attack.mitre.org/tactics/TA0009/
技术
- 名称：电子邮件收集
- ID：T1114
- 参考网址：https://attack.mitre.org/techniques/T1114/
子技术
- 名称：本地电子邮件收集
- ID：T1114.001
- 参考网址：https://attack.mitre.org/techniques/T1114/001/
战术
- 名称：执行
- ID：TA0002
- 参考网址：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：进程间通信
- ID：T1559
- 参考网址：https://attack.mitre.org/techniques/T1559/
子技术
- 名称：组件对象模型
- ID：T1559.001
- 参考网址：https://attack.mitre.org/techniques/T1559/001/

« 可疑 ImagePath 服务创建容器内生成的的可疑交互式 Shell »