› › ›

浏览器扩展安装

编辑

浏览器扩展安装

编辑

识别浏览器扩展的安装。恶意浏览器扩展可以通过伪装成合法扩展的应用商店下载、社会工程或已经入侵系统的攻击者安装。

规则类型: eql

规则索引:

logs-endpoint.events.file-*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*
logs-windows.sysmon_operational-*
winlogbeat-*
endgame-*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引时间范围: now-9 分钟 (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 持久化
数据源: Elastic Defend
数据源: Elastic Endgame
数据源: SentinelOne
数据源: Sysmon
数据源: Microsoft Defender for Endpoint

版本: 202

规则作者:

Elastic

规则许可: Elastic License v2

规则查询

编辑

file where host.os.type == "windows" and event.type : "creation" and
(
  /* Firefox-Based Browsers */
  (
    file.name : "*.xpi" and
    file.path : "?:\\Users\\*\\AppData\\Roaming\\*\\Profiles\\*\\Extensions\\*.xpi" and
    not
    (
      process.name : "firefox.exe" and
      file.name : ("langpack-*@firefox.mozilla.org.xpi", "*@dictionaries.addons.mozilla.org.xpi")
    )
  ) or
  /* Chromium-Based Browsers */
  (
    file.name : "*.crx" and
    file.path : "?:\\Users\\*\\AppData\\Local\\*\\*\\User Data\\Webstore Downloads\\*"
  )
)

框架: MITRE ATT&CK^TM

战术
- 名称: 持久化
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称: 浏览器扩展
- ID: T1176
- 参考 URL: https://attack.mitre.org/techniques/T1176/

« Bitsadmin 活动通过事件查看器绕过 UAC »