通过异常客户端安装 Windows 服务
编辑通过异常客户端安装 Windows 服务
编辑识别由异常客户端进程创建 Windows 服务的行为。服务可能使用管理员权限创建,但以 SYSTEM 权限执行,因此攻击者也可以使用服务将权限从管理员提升到 SYSTEM。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重程度: 高
风险评分: 73
每隔: 5 分钟
搜索索引自: now-9m (日期数学格式,另请参见 附加回溯时间)
每次执行的最大告警数: 100
参考资料:
- https://www.x86matthew.com/view_post?id=create_svc_rpc
- https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4697
- https://github.com/atc-project/atomic-threat-coverage/blob/master/Atomic_Threat_Coverage/Logging_Policies/LP_0100_windows_audit_security_system_extension.md
- https://elastic.ac.cn/security-labs/siestagraph-new-implant-uncovered-in-asean-member-foreign-ministry
标签:
- 领域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:权限提升
- 数据源:系统
版本: 211
规则作者:
- Elastic
规则许可证: Elastic License v2
设置
编辑设置
必须配置审核安全系统扩展日志策略以 (成功) 步骤使用高级审核配置实施日志策略
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > System > Audit Security System Extension (Success)
规则查询
编辑configuration where host.os.type == "windows" and
event.action == "service-installed" and
(winlog.event_data.ClientProcessId == "0" or winlog.event_data.ParentProcessId == "0") and
not winlog.event_data.ServiceFileName : (
"?:\\Windows\\VeeamVssSupport\\VeeamGuestHelper.exe",
"?:\\Windows\\VeeamLogShipper\\VeeamLogShipper.exe",
"%SystemRoot%\\system32\\Drivers\\Crowdstrike\\*-CsInstallerService.exe",
"\"%windir%\\AdminArsenal\\PDQInventory-Scanner\\service-1\\PDQInventory-Scanner-1.exe\" "
)
框架: MITRE ATT&CKTM
-
战术
- 名称:权限提升
- ID:TA0004
- 参考网址:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:创建或修改系统进程
- ID:T1543
- 参考网址:https://attack.mitre.org/techniques/T1543/
-
子技术
- 名称:Windows 服务
- ID:T1543.003
- 参考网址:https://attack.mitre.org/techniques/T1543/003/