已过期或被吊销的驱动程序加载

识别尝试加载被吊销或过期驱动程序的行为。攻击者可能会利用带有漏洞的过时驱动程序，以在内核模式下获得代码执行权限，或滥用被吊销的证书来签名其驱动程序。

规则类型: eql

规则索引:

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引起始时间: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

版本: 5

规则作者:

规则许可证: Elastic License v2

driver where host.os.type == "windows" and process.pid == 4 and
  dll.code_signature.status : ("errorExpired", "errorRevoked")

框架: MITRE ATT&CK^TM

战术
- 名称：特权提升
- ID：TA0004
- 参考 URL：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：利用漏洞进行特权提升
- ID：T1068
- 参考 URL：https://attack.mitre.org/techniques/T1068/
战术
- 名称：防御规避
- ID：TA0005
- 参考 URL：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：伪装
- ID：T1036
- 参考 URL：https://attack.mitre.org/techniques/T1036/
子技术
- 名称：无效代码签名
- ID：T1036.001
- 参考 URL：https://attack.mitre.org/techniques/T1036/001/