可疑打印后台处理程序点和打印 DLL

编辑

可疑打印后台处理程序点和打印 DLL

编辑

检测试图利用与打印后台处理程序服务相关的特权提升漏洞 (CVE-2020-1030) 的尝试。利用涉及链接多个原语以将任意 DLL 加载到以 SYSTEM 身份运行的打印后台处理程序进程中。

规则类型: eql

规则索引:

  • logs-endpoint.events.registry-*
  • endgame-*
  • logs-windows.sysmon_operational-*
  • winlogbeat-*

严重性: 高

风险评分: 73

每隔: 5m 运行

搜索索引自: now-9m (日期数学格式,另请参见 其他回溯时间)

每次执行的最大告警数: 100

参考:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 战术:特权提升
  • 数据源:Elastic Endgame
  • 用例:漏洞
  • 数据源:Elastic Defend
  • 数据源:Sysmon

版本: 208

规则作者:

  • Elastic

规则许可证: Elastic License v2

规则查询

编辑
sequence by host.id with maxspan=30s
[registry where host.os.type == "windows" and
 registry.path : (
    "HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Print\\Printers\\*\\SpoolDirectory",
    "\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Print\\Printers\\*\\SpoolDirectory"
    ) and
 registry.data.strings : "C:\\Windows\\System32\\spool\\drivers\\x64\\4"]
[registry where host.os.type == "windows" and
 registry.path : (
    "HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Print\\Printers\\*\\CopyFiles\\Payload\\Module",
    "\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Print\\Printers\\*\\CopyFiles\\Payload\\Module"
    ) and
 registry.data.strings : "C:\\Windows\\System32\\spool\\drivers\\x64\\4\\*"]

框架: MITRE ATT&CKTM