使用 MMC 的传入 DCOM 横向移动

编辑

使用 MMC 的传入 DCOM 横向移动

编辑

识别使用分布式组件对象模型 (DCOM) 从远程主机运行命令的行为，这些命令通过 MMC20 应用程序 COM 对象启动。此行为可能表明攻击者正在滥用 DCOM 应用程序进行横向移动。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-endpoint.events.network-*
logs-windows.sysmon_operational-*

严重程度: 高

风险评分: 73

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

https://enigma0x3.net/2017/01/05/lateral-movement-using-the-mmc20-application-com-object/

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 横向移动
战术: 防御规避
数据源: Elastic Defend
数据源: Sysmon

版本: 208

规则作者:

Elastic

规则许可: Elastic License v2

规则查询

编辑

sequence by host.id with maxspan=1m
 [network where host.os.type == "windows" and event.type == "start" and process.name : "mmc.exe" and source.port >= 49152 and
 destination.port >= 49152 and source.ip != "127.0.0.1" and source.ip != "::1" and
  network.direction : ("incoming", "ingress") and network.transport == "tcp"
 ] by process.entity_id
 [process where host.os.type == "windows" and event.type == "start" and process.parent.name : "mmc.exe"
 ] by process.parent.entity_id

框架: MITRE ATT&CK^TM

战术
- 名称: 横向移动
- ID: TA0008
- 参考 URL: https://attack.mitre.org/tactics/TA0008/
技术
- 名称: 远程服务
- ID: T1021
- 参考 URL: https://attack.mitre.org/techniques/T1021/
子技术
- 名称: 分布式组件对象模型
- ID: T1021.003
- 参考 URL: https://attack.mitre.org/techniques/T1021/003/
战术
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 系统二进制代理执行
- ID: T1218
- 参考 URL: https://attack.mitre.org/techniques/T1218/
子技术
- 名称: MMC
- ID: T1218.014
- 参考 URL: https://attack.mitre.org/techniques/T1218/014/

« 通过 MSHTA 的传入 DCOM 横向移动使用 ShellBrowserWindow 或 ShellWindows 的传入 DCOM 横向移动 »