首次发现常用的恶意远程访问工具执行
编辑首次发现常用的恶意远程访问工具执行
编辑攻击者可能会在被入侵的端点上安装合法的远程访问工具 (RAT),以进行进一步的命令和控制 (C2)。攻击者可以依靠已安装的 RAT 来实现持久性、执行原生命令等。此规则检测何时启动的进程的名称或代码签名与常用的恶意 RAT 相似。这是一个“新术语”规则类型,表明主机在过去 30 天内首次看到启动的此 RAT 进程。
规则类型: new_terms
规则索引:
- logs-endpoint.events.process-*
- endgame-*
- winlogbeat-*
- logs-windows.*
- logs-system.security*
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引时间范围: now-9m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 策略: 命令和控制
- 资源: 调查指南
- 数据源: Elastic Defend
- 数据源: Elastic Endgame
- 数据源: 系统
版本: 108
规则作者:
- Elastic
规则许可: Elastic License v2
调查指南
编辑初步分类和分析
调查首次发现常用的恶意远程访问工具执行
远程访问软件是一类工具,IT 部门通常使用这些工具来通过安全连接到用户的计算机来提供支持。远程访问是一个不断增长的市场,新公司不断提供快速访问远程系统的新方法。
与 IT 部门采用这些工具的速度一样,攻击者也采用它们作为其工作流程的一部分,以便连接到交互式会话、使用合法软件作为持久性机制来维护访问权限、投放恶意软件等。
此规则检测到过去 15 天内在环境中首次看到的远程访问工具,使分析人员能够调查并强制执行此类工具的正确使用。
可能的调查步骤
- 调查未知进程的进程执行链(父进程树)。检查它们的可执行文件,了解其普遍性、它们是否位于预期位置,以及它们是否使用有效的数字签名进行签名。
- 检查远程访问工具的执行是否已获得组织 IT 部门的批准。
- 调查过去 48 小时内与用户/主机相关的其他告警。
- 联系帐户所有者并确认他们是否知道此活动。
- 如果该工具未获准在组织中使用,则该员工可能被诱骗安装它并向恶意第三方提供访问权限。调查该第三方是否可能试图欺骗最终用户或通过社会工程访问环境。
- 调查主体进程的任何异常行为,例如网络连接、注册表或文件修改以及任何产生的子进程。
误报分析
- 如果授权的支持人员或管理员使用该工具进行合法支持或远程访问,请考虑加强仅应使用 IT 政策批准的工具。如果未观察到涉及主机或用户的其他可疑行为,分析人员可以忽略告警。
响应和补救
- 根据初步分类的结果启动事件响应流程。
- 隔离相关主机以防止进一步的入侵后行为。
- 使用现有反恶意软件工具运行完整扫描。此扫描可以揭示系统中遗留的其他工件、持久性机制和恶意软件组件。
- 调查受攻击者入侵或使用的系统中的凭据泄露情况,以确保识别出所有被入侵的帐户。重置这些帐户以及其他可能泄露的凭据(如电子邮件、业务系统和 Web 服务)的密码。
- 如果未经授权的第三方通过社会工程进行了访问,请考虑改进安全意识计划。
- 强制执行只有 IT 政策批准的工具才能用于远程访问目的,并且只有授权人员才能使用。
- 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
规则查询
编辑host.os.type: "windows" and
event.category: "process" and event.type : "start" and
(
process.code_signature.subject_name : (
"Action1 Corporation" or
"AeroAdmin LLC" or
"Ammyy LLC" or
"Atera Networks Ltd" or
"AWERAY PTE. LTD." or
"BeamYourScreen GmbH" or
"Bomgar Corporation" or
"DUC FABULOUS CO.,LTD" or
"DOMOTZ INC." or
"DWSNET OÜ" or
"FleetDeck Inc" or
"GlavSoft LLC" or
"GlavSoft LLC." or
"Hefei Pingbo Network Technology Co. Ltd" or
"IDrive, Inc." or
"IMPERO SOLUTIONS LIMITED" or
"Instant Housecall" or
"ISL Online Ltd." or
"LogMeIn, Inc." or
"Monitoring Client" or
"MMSOFT Design Ltd." or
"Nanosystems S.r.l." or
"NetSupport Ltd" or
"NinjaRMM, LLC" or
"Parallels International GmbH" or
"philandro Software GmbH" or
"Pro Softnet Corporation" or
"RealVNC" or
"RealVNC Limited" or
"BreakingSecurity.net" or
"Remote Utilities LLC" or
"Rocket Software, Inc." or
"SAFIB" or
"Servably, Inc." or
"ShowMyPC INC" or
"Splashtop Inc." or
"Superops Inc." or
"TeamViewer" or
"TeamViewer GmbH" or
"TeamViewer Germany GmbH" or
"Techinline Limited" or
"uvnc bvba" or
"Yakhnovets Denis Aleksandrovich IP" or
"Zhou Huabing"
) or
process.name.caseless : (
AA_v*.exe or
"AeroAdmin.exe" or
"AnyDesk.exe" or
"apc_Admin.exe" or
"apc_host.exe" or
"AteraAgent.exe" or
aweray_remote*.exe or
"AweSun.exe" or
"B4-Service.exe" or
"BASupSrvc.exe" or
"bomgar-scc.exe" or
"domotzagent.exe" or
"domotz-windows-x64-10.exe" or
"dwagsvc.exe" or
"DWRCC.exe" or
"ImperoClientSVC.exe" or
"ImperoServerSVC.exe" or
"ISLLight.exe" or
"ISLLightClient.exe" or
fleetdeck_commander*.exe or
"getscreen.exe" or
"LMIIgnition.exe" or
"LogMeIn.exe" or
"ManageEngine_Remote_Access_Plus.exe" or
"Mikogo-Service.exe" or
"NinjaRMMAgent.exe" or
"NinjaRMMAgenPatcher.exe" or
"ninjarmm-cli.exe" or
"r_server.exe" or
"radmin.exe" or
"radmin3.exe" or
"RCClient.exe" or
"RCService.exe" or
"RemoteDesktopManager.exe" or
"RemotePC.exe" or
"RemotePCDesktop.exe" or
"RemotePCService.exe" or
"rfusclient.exe" or
"ROMServer.exe" or
"ROMViewer.exe" or
"RPCSuite.exe" or
"rserver3.exe" or
"rustdesk.exe" or
"rutserv.exe" or
"rutview.exe" or
"saazapsc.exe" or
ScreenConnect*.exe or
"smpcview.exe" or
"spclink.exe" or
"Splashtop-streamer.exe" or
"SRService.exe" or
"strwinclt.exe" or
"Supremo.exe" or
"SupremoService.exe" or
"teamviewer.exe" or
"TiClientCore.exe" or
"TSClient.exe" or
"tvn.exe" or
"tvnserver.exe" or
"tvnviewer.exe" or
UltraVNC*.exe or
UltraViewer*.exe or
"vncserver.exe" or
"vncviewer.exe" or
"winvnc.exe" or
"winwvc.exe" or
"Zaservice.exe" or
"ZohoURS.exe"
) or
process.name : (
AA_v*.exe or
"AeroAdmin.exe" or
"AnyDesk.exe" or
"apc_Admin.exe" or
"apc_host.exe" or
"AteraAgent.exe" or
aweray_remote*.exe or
"AweSun.exe" or
"B4-Service.exe" or
"BASupSrvc.exe" or
"bomgar-scc.exe" or
"domotzagent.exe" or
"domotz-windows-x64-10.exe" or
"dwagsvc.exe" or
"DWRCC.exe" or
"ImperoClientSVC.exe" or
"ImperoServerSVC.exe" or
"ISLLight.exe" or
"ISLLightClient.exe" or
fleetdeck_commander*.exe or
"getscreen.exe" or
"LMIIgnition.exe" or
"LogMeIn.exe" or
"ManageEngine_Remote_Access_Plus.exe" or
"Mikogo-Service.exe" or
"NinjaRMMAgent.exe" or
"NinjaRMMAgenPatcher.exe" or
"ninjarmm-cli.exe" or
"r_server.exe" or
"radmin.exe" or
"radmin3.exe" or
"RCClient.exe" or
"RCService.exe" or
"RemoteDesktopManager.exe" or
"RemotePC.exe" or
"RemotePCDesktop.exe" or
"RemotePCService.exe" or
"rfusclient.exe" or
"ROMServer.exe" or
"ROMViewer.exe" or
"RPCSuite.exe" or
"rserver3.exe" or
"rustdesk.exe" or
"rutserv.exe" or
"rutview.exe" or
"saazapsc.exe" or
ScreenConnect*.exe or
"smpcview.exe" or
"spclink.exe" or
"Splashtop-streamer.exe" or
"SRService.exe" or
"strwinclt.exe" or
"Supremo.exe" or
"SupremoService.exe" or
"teamviewer.exe" or
"TiClientCore.exe" or
"TSClient.exe" or
"tvn.exe" or
"tvnserver.exe" or
"tvnviewer.exe" or
UltraVNC*.exe or
UltraViewer*.exe or
"vncserver.exe" or
"vncviewer.exe" or
"winvnc.exe" or
"winwvc.exe" or
"Zaservice.exe" or
"ZohoURS.exe"
)
) and
not (process.pe.original_file_name : ("G2M.exe" or "Updater.exe" or "powershell.exe") and process.code_signature.subject_name : "LogMeIn, Inc.")
框架: MITRE ATT&CKTM
-
策略
- 名称: 命令和控制
- ID: TA0011
- 参考 URL: https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称: 远程访问软件
- ID: T1219
- 参考 URL: https://attack.mitre.org/techniques/T1219/