可疑的 Lsass 进程访问

编辑

可疑的 Lsass 进程访问

编辑

识别对 LSASS 句柄的访问尝试，这可能表示尝试从 Lsass 内存中转储凭据。

规则类型: eql

规则索引:

winlogbeat-*
logs-windows.sysmon_operational-*

严重程度: 中等

风险评分: 47

每隔: 5m

搜索索引自: now-9m (日期数学格式，另请参见 其他回溯时间)

每次执行的最大警报数: 100

参考:

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1003.001/T1003.001.md

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：凭据访问
数据源：Sysmon

版本: 208

规则作者:

Elastic

规则许可证: Elastic License v2

设置

编辑

设置

如果在非 elastic-agent 索引（例如 beats）上启用 EQL 规则且版本 < 8.2，则事件将不会定义 event.ingested，并且直到版本 8.2 才添加了 EQL 规则的默认回退。因此，为了使此规则有效，用户需要添加一个自定义摄取管道来填充 event.ingested 到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询

编辑

process where host.os.type == "windows" and event.code == "10" and
  winlog.event_data.TargetImage : "?:\\WINDOWS\\system32\\lsass.exe" and
  not winlog.event_data.GrantedAccess :
                ("0x1000", "0x1400", "0x101400", "0x101000", "0x101001", "0x100000", "0x100040", "0x3200", "0x40", "0x3200") and
  not process.name : ("procexp64.exe", "procmon.exe", "procexp.exe", "Microsoft.Identity.AadConnect.Health.AadSync.Host.ex") and
  not process.executable : (
        "?:\\ProgramData\\Microsoft\\Windows Defender\\platform\\*",
        "?:\\ProgramData\\WebEx\\webex\\*",
        "?:\\Program Files (x86)\\*",
        "?:\\Program Files\\*",
        "?:\\Windows\\CCM\\CcmExec.exe",
        "?:\\Windows\\LTSvc\\LTSVC.exe",
        "?:\\Windows\\Sysmon.exe",
        "?:\\Windows\\Sysmon64.exe",
        "C:\\Windows\\CynetMS.exe",
        "?:\\Windows\\system32\\csrss.exe",
        "?:\\Windows\\System32\\lsm.exe",
        "?:\\Windows\\system32\\MRT.exe",
        "?:\\Windows\\System32\\msiexec.exe",
        "?:\\Windows\\system32\\wbem\\wmiprvse.exe",
        "?:\\Windows\\system32\\wininit.exe",
        "?:\\Windows\\SystemTemp\\GUM*.tmp\\GoogleUpdate.exe",
        "?:\\Windows\\sysWOW64\\wbem\\wmiprvse.exe",
        "C:\\oracle\\64\\02\\instantclient_19_13\\sqlplus.exe",
        "C:\\oracle\\64\\02\\instantclient_19_13\\sqlldr.exe",
        "d:\\oracle\\product\\19\\dbhome1\\bin\\ORACLE.EXE",
        "C:\\wamp\\bin\\apache\\apache*\\bin\\httpd.exe",
        "C:\\Windows\\system32\\netstat.exe",
        "C:\\PROGRA~1\\INFORM~1\\apps\\jdk\\*\\jre\\bin\\java.exe",
        "C:\\PROGRA~2\\CyberCNSAgentV2\\osqueryi.exe",
        "C:\\Utilityw2k19\\packetbeat\\packetbeat.exe",
        "C:\\ProgramData\\Cisco\\Cisco AnyConnect Secure Mobility Client\\Temp\\CloudUpdate\\vpndownloader.exe",
        "C:\\ProgramData\\Cisco\\Cisco Secure Client\\Temp\\CloudUpdate\\vpndownloader.exe"
  ) and
  not winlog.event_data.CallTrace : ("*mpengine.dll*", "*appresolver.dll*", "*sysmain.dll*")

框架: MITRE ATT&CK^TM

战术
- 名称：凭据访问
- ID：TA0006
- 参考 URL：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：操作系统凭据转储
- ID：T1003
- 参考 URL：https://attack.mitre.org/techniques/T1003/
子技术
- 名称：LSASS 内存
- ID：T1003.001
- 参考 URL：https://attack.mitre.org/techniques/T1003/001/

« 通过 MalSecLogon 进行可疑的 LSASS 访问可疑的 MS Office 子进程 »