通过 DLL 劫持利用 WPS Office
编辑通过 DLL 劫持利用 WPS Office
编辑识别 WPS Office promecefpluginhost.exe 可执行文件加载远程库的行为。这可能表明成功利用 CVE-2024-7262 或 CVE-2024-7263 通过 DLL 劫持滥用 ksoqing 自定义协议处理程序。
规则类型: eql
规则索引:
- logs-endpoint.events.library-*
- logs-windows.sysmon_operational-*
严重性: 高
风险评分: 73
每: 5 分钟运行一次
搜索索引自: now-9m (日期数学格式,另见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 领域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:初始访问
- 战术:执行
- 数据来源:Elastic Defend
- 数据来源:Sysmon
版本: 101
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑any where host.os.type == "windows" and process.name : "promecefpluginhost.exe" and
(
(event.category == "library" and
?dll.path :
("?:\\Users\\*\\AppData\\Local\\Temp\\wps\\INetCache\\*",
"\\Device\\Mup\\**", "\\\\*")) or
((event.category == "process" and event.action : "Image loaded*") and
?file.path :
("?:\\Users\\*\\AppData\\Local\\Temp\\wps\\INetCache\\*",
"\\Device\\Mup\\**", "\\\\*"))
)
框架: MITRE ATT&CKTM
-
战术
- 名称:执行
- ID:TA0002
- 参考网址:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:客户端执行利用
- ID:T1203
- 参考网址:https://attack.mitre.org/techniques/T1203/
-
战术
- 名称:初始访问
- ID:TA0001
- 参考网址:https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称:驱动式入侵
- ID:T1189
- 参考网址:https://attack.mitre.org/techniques/T1189/