› › ›

映像文件执行选项注入

编辑

映像文件执行选项注入

编辑

Debugger 和 SilentProcessExit 注册表项允许攻击者拦截文件的执行，从而导致执行不同的进程。攻击者可以滥用此功能来建立持久性。

规则类型: eql

规则索引:

logs-endpoint.events.registry-*
endgame-*
logs-windows.sysmon_operational-*
winlogbeat-*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*

严重性: 中

风险评分: 47

运行频率: 5m

搜索索引起始时间: now-9m (日期数学格式，另请参见 额外的回溯时间)

每次执行的最大警报数: 100

参考资料:

https://oddvar.moe/2018/04/10/persistence-using-globalflags-in-image-file-execution-options-hidden-from-autoruns-exe/

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
策略: 持久化
策略: 防御规避
数据源: Elastic Endgame
数据源: Elastic Defend
数据源: Sysmon
数据源: Microsoft Defender for Endpoint
数据源: SentinelOne

版本: 309

规则作者:

Elastic

规则许可: Elastic License v2

规则查询

编辑

registry where host.os.type == "windows" and event.type == "change" and
  registry.value : ("Debugger", "MonitorProcess") and length(registry.data.strings) > 0 and
  registry.path : (
    "HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\*.exe\\Debugger",
    "HKLM\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\*\\Debugger",
    "HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SilentProcessExit\\*\\MonitorProcess",
    "HKLM\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows NT\\CurrentVersion\\SilentProcessExit\\*\\MonitorProcess",
    "\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\*.exe\\Debugger",
    "\\REGISTRY\\MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\*\\Debugger",
    "\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SilentProcessExit\\*\\MonitorProcess",
    "\\REGISTRY\\MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows NT\\CurrentVersion\\SilentProcessExit\\*\\MonitorProcess",
    "MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\*.exe\\Debugger",
    "MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\*\\Debugger",
    "MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SilentProcessExit\\*\\MonitorProcess",
    "MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows NT\\CurrentVersion\\SilentProcessExit\\*\\MonitorProcess"
  ) and
    /* add FPs here */
  not registry.data.strings regex~ ("""C:\\Program Files( \(x86\))?\\ThinKiosk\\thinkiosk\.exe""", """.*\\PSAppDeployToolkit\\.*""")

框架: MITRE ATT&CK^TM

策略
- 名称: 持久化
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称: 事件触发执行
- ID: T1546
- 参考 URL: https://attack.mitre.org/techniques/T1546/
子技术
- 名称: 映像文件执行选项注入
- ID: T1546.012
- 参考 URL: https://attack.mitre.org/techniques/T1546/012/
策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 修改注册表
- ID: T1112
- 参考 URL: https://attack.mitre.org/techniques/T1112/

« IPv4/IPv6 转发活动加载无效签名的映像 »