« 通过直接系统调用访问可疑进程 通过重命名 PsExec 可执行文件执行可疑进程 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和告警 预构建规则参考

可疑进程创建调用跟踪

编辑

可疑进程创建调用跟踪

编辑

识别何时创建进程并立即从未知内存代码区域以及由相同的父进程访问该进程。这可能表示代码注入尝试。

规则类型: eql

规则索引:

  • winlogbeat-*
  • logs-windows.sysmon_operational-*

严重性: 中等

风险评分: 47

每隔: 5m

搜索索引自: now-9m (日期数学格式,另请参见 其他回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

  • 领域: 端点
  • 操作系统: Windows
  • 用例: 威胁检测
  • 战术: 防御规避
  • 资源: 调查指南
  • 数据源: Sysmon

版本: 308

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查可疑进程创建调用跟踪

攻击者可能会将代码注入子进程的内存以隐藏其实际活动,规避检测机制,并在取证过程中降低可发现性。此规则查找由 Microsoft Office、脚本和命令行应用程序生成的进程,然后查找父进程对未知内存区域的进程访问事件,这可能表示代码注入尝试。

可能的调查步骤

  • 调查未知进程的进程执行链(父进程树)。检查其可执行文件以了解其普遍性、它们是否位于预期位置以及它们是否已使用有效的数字签名进行签名。
  • 调查目标进程的任何异常行为,例如网络连接、注册表或文件修改以及任何生成的子进程。
  • 调查过去 48 小时内与用户/主机关联的其他告警。
  • 检查主机在告警时间范围内是否存在可疑或异常行为。
  • 创建子进程的内存转储以供分析。

误报分析

  • 此活动不太可能合法发生。如果需要,可以将良性真阳性 (B-TP) 添加为例外。

响应和补救

  • 根据分类结果启动事件响应流程。
  • 隔离相关主机以防止进一步的入侵后行为。
  • 删除和阻止在分类期间识别的恶意工件。
  • 运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
  • 调查受攻击者入侵或使用的系统上的凭据泄露,以确保识别所有受损帐户。重置这些帐户和其他可能受损的凭据(如电子邮件、业务系统和 Web 服务)的密码。
  • 确定攻击者滥用的初始载体,并采取措施防止通过相同载体再次感染。
  • 利用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑
sequence by host.id with maxspan=1m
  [process where host.os.type == "windows" and event.code == "1" and
   /* sysmon process creation */
   process.parent.name : ("winword.exe", "excel.exe", "outlook.exe", "powerpnt.exe", "eqnedt32.exe", "fltldr.exe",
                          "mspub.exe", "msaccess.exe","cscript.exe", "wscript.exe", "rundll32.exe", "regsvr32.exe",
                          "mshta.exe", "wmic.exe", "cmstp.exe", "msxsl.exe") and

   /* noisy FP patterns */
   not (process.parent.name : "EXCEL.EXE" and process.executable : "?:\\Program Files\\Microsoft Office\\root\\Office*\\ADDINS\\*.exe") and
   not (process.executable : "?:\\Windows\\splwow64.exe" and process.args in ("8192", "12288") and process.parent.name : ("winword.exe", "excel.exe", "outlook.exe", "powerpnt.exe")) and
   not (process.parent.name : "rundll32.exe" and process.parent.args : ("?:\\WINDOWS\\Installer\\MSI*.tmp,zzzzInvokeManagedCustomActionOutOfProc", "--no-sandbox")) and
   not (process.executable :
            ("?:\\Program Files (x86)\\Microsoft\\EdgeWebView\\Application\\*\\msedgewebview2.exe",
             "?:\\Program Files\\Adobe\\Acrobat DC\\Acrobat\\Acrobat.exe",
             "?:\\Windows\\SysWOW64\\DWWIN.EXE") and
        process.parent.name : ("winword.exe", "excel.exe", "outlook.exe", "powerpnt.exe")) and
   not (process.parent.name : "regsvr32.exe" and process.parent.args : ("?:\\Program Files\\*", "?:\\Program Files (x86)\\*"))
   ] by process.parent.entity_id, process.entity_id
  [process where host.os.type == "windows" and event.code == "10" and
   /* Sysmon process access event from unknown module */
   winlog.event_data.CallTrace : "*UNKNOWN*"] by process.entity_id, winlog.event_data.TargetProcessGUID

框架: MITRE ATT&CKTM

« 通过直接系统调用访问可疑进程 通过重命名 PsExec 可执行文件执行可疑进程 »