已安装 Windows 子系统 Linux 发行版
编辑已安装 Windows 子系统 Linux 发行版
编辑检测表明安装了新的 Windows 子系统 Linux 发行版的注册表更改(按名称)。攻击者可能会启用并使用 WSL for Linux 以避免检测。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-endpoint.events.registry-*
- logs-windows.sysmon_operational-*
- endgame-*
- logs-m365_defender.event-*
- logs-sentinel_one_cloud_funnel.*
严重性: 中等
风险评分: 47
每隔: 5m 运行
搜索索引时间范围: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:防御规避
- 数据源:Elastic Endgame
- 数据源:Elastic Defend
- 数据源:Sysmon
- 数据源:Microsoft Defender for Endpoint
- 数据源:SentinelOne
版本: 208
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查已安装的 Windows 子系统 Linux 发行版
Windows 子系统 Linux (WSL) 允许开发人员安装 Linux 发行版(如 Ubuntu、OpenSUSE、Kali、Debian、Arch Linux 等)并直接在 Windows 上使用 Linux 应用程序、实用程序和 Bash 命令行工具,无需修改,并且没有传统虚拟机或双启动设置带来的开销。攻击者可能会滥用 WSL 以避免 Windows 主机上的安全保护并执行各种攻击。
此规则通过注册表事件识别新 Windows 子系统 Linux 发行版的安装。
可能的调查步骤
- 确定执行此操作的用户帐户,以及该帐户是否应执行此类操作。
- 检查安装了哪个发行版。某些发行版(如 Kali Linux)可以促进环境的泄露。
- 联系帐户所有者并确认他们是否了解此活动。
- 调查过去 48 小时内与用户/主机关联的其他告警。
- 验证此活动是否与计划的修补程序、更新、网络管理员活动或合法软件安装无关。
- 通过查看主机上的类似事件,评估此行为在环境中是否普遍存在。
误报分析
- 这是一个双用途工具,这意味着其使用本身并非恶意。如果管理员了解此活动,并且没有发现其他可疑活动,并且 WSL 发行版在环境中经过了认证和批准,则分析师可以忽略此告警。
相关规则
- 通过 Windows 子系统 Linux 更改主机文件系统 - e88d1fe9-b2f4-48d4-bace-a026dc745d4b
- 通过 Windows 子系统 Linux 执行 - db7dbad5-08d2-4d25-b9b1-d3a1e4a15efd
- 通过 Windows 子系统 Linux 的可疑执行 - 3e0eeb75-16e8-4f2f-9826-62461ca128b7
- 通过 Dism 实用程序启用 Windows 子系统 Linux - e2e0537d-7d8f-4910-a11d-559bcf61295a
响应和补救
- 根据分类结果启动事件响应流程。
- 隔离相关主机以防止进一步的入侵后行为。
- 运行完整的反恶意软件扫描。这可能会发现系统中留下的其他工件、持久性机制和恶意软件组件。
- 调查受损系统或攻击者使用的系统上的凭据泄露,以确保识别所有受损帐户。重置这些帐户和其他可能受到威胁的凭据(如电子邮件、业务系统和 Web 服务)的密码。
- 确定攻击者滥用的初始载体,并采取措施防止通过相同载体重新感染。
- 使用事件响应数据,更新日志记录和审计策略以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
规则查询
编辑registry where host.os.type == "windows" and event.type == "change" and registry.value : "PackageFamilyName" and registry.path : "*\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Lxss\\*\\PackageFamilyName"
框架: MITRE ATT&CKTM
-
战术
- 名称:防御规避
- ID:TA0005
- 参考 URL:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:修改注册表
- ID:T1112
- 参考 URL:https://attack.mitre.org/techniques/T1112/
-
技术
- 名称:间接命令执行
- ID:T1202
- 参考 URL:https://attack.mitre.org/techniques/T1202/