具有可疑属性的 Windows 安装程序

编辑

具有可疑属性的 Windows 安装程序

编辑

识别从存档中执行安装程序或具有可疑属性的安装程序。攻击者可能会滥用 msiexec.exe 来启动本地或网络可访问的 MSI 文件，试图绕过应用程序白名单。

规则类型: eql

规则索引:

logs-endpoint.events.*

严重性: 低

风险评分: 21

每: 60 分钟运行一次

搜索索引自: now-119m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考:

https://lolbas-project.github.io/lolbas/Binaries/Msiexec/

标签:

领域：端点
操作系统：Windows
用例：威胁检测
策略：防御规避
规则类型：BBR
数据来源：Elastic Defend

版本: 2

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

sequence with maxspan=1m
  [registry where host.os.type == "windows" and event.type == "change" and process.name : "msiexec.exe" and
   (
    (registry.value : "InstallSource" and
     registry.data.strings : ("?:\\Users\\*\\Temp\\Temp?_*.zip\\*",
                             "?:\\Users\\*\\*.7z\\*",
                             "?:\\Users\\*\\*.rar\\*")) or

    (registry.value : ("DisplayName", "ProductName") and registry.data.strings : "SetupTest")
    )]
  [process where host.os.type == "windows" and event.action == "start" and
    process.parent.name : "msiexec.exe" and
    not process.name : "msiexec.exe" and
    not (process.executable : ("?:\\Program Files (x86)\\*.exe", "?:\\Program Files\\*.exe") and process.code_signature.trusted == true)]

框架: MITRE ATT&CK^TM

策略
- 名称：防御规避
- ID：TA0005
- 参考网址：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：系统二进制代理执行
- ID：T1218
- 参考网址：https://attack.mitre.org/techniques/T1218/
子技术
- 名称：Msiexec
- ID：T1218.007
- 参考网址：https://attack.mitre.org/techniques/T1218/007/

« 通过 PowerShell 禁用的 Windows 防火墙 Windows 网络枚举 »