Azure AD 同步服务加载不受信任的 DLL
编辑Azure AD 同步服务加载不受信任的 DLL
编辑识别 Azure AD 同步进程加载的 DLL 缺少有效代码签名的情况,这可能表示尝试持久化或收集通过 Azure AD 同步服务器传递的敏感凭据。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-endpoint.events.library*
- logs-windows.sysmon_operational-*
严重性: 高
风险评分: 73
运行频率: 5 分钟
搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:凭据访问
- 数据源:Elastic Defend
- 数据源:Sysmon
版本: 101
规则作者:
- Elastic
- Matteo Potito Giorgio
规则许可证: Elastic License v2
规则查询
编辑any where host.os.type == "windows" and process.name : "AzureADConnectAuthenticationAgentService.exe" and
(
(event.category == "library" and event.action == "load") or
(event.category == "process" and event.action : "Image loaded*")
) and
not (?dll.code_signature.trusted == true or file.code_signature.status == "Valid") and not
(
/* Elastic defend DLL path */
?dll.path :
("?:\\Windows\\assembly\\NativeImages*",
"?:\\Windows\\Microsoft.NET\\*",
"?:\\Windows\\WinSxS\\*",
"?:\\Windows\\System32\\DriverStore\\FileRepository\\*") or
/* Sysmon DLL path is mapped to file.path */
file.path :
("?:\\Windows\\assembly\\NativeImages*",
"?:\\Windows\\Microsoft.NET\\*",
"?:\\Windows\\WinSxS\\*",
"?:\\Windows\\System32\\DriverStore\\FileRepository\\*")
)
框架: MITRE ATT&CKTM
-
战术
- 名称:凭据访问
- ID:TA0006
- 参考网址:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:操作系统凭据转储
- ID:T1003
- 参考网址:https://attack.mitre.org/techniques/T1003/