通过启动文件夹横向移动

编辑

通过启动文件夹横向移动

编辑

识别远程系统启动文件夹中的可疑文件创建行为。攻击者可能滥用此方法，通过放置恶意脚本或可执行文件进行横向移动，这些文件将在重启或用户登录后执行。

规则类型: eql

规则索引:

logs-endpoint.events.file-*
winlogbeat-*
logs-windows.sysmon_operational-*
endgame-*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*

严重程度: 高

风险评分: 73

运行频率: 5分钟

搜索索引时间范围: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 横向移动
数据源: Elastic Endgame
数据源: Elastic Defend
数据源: Sysmon
数据源: Microsoft Defender for Endpoint
数据源: SentinelOne

版本: 309

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

file where host.os.type == "windows" and event.type in ("creation", "change") and

 /* via RDP TSClient mounted share or SMB */
  (process.name : "mstsc.exe" or process.pid == 4) and

   file.path : ("?:\\Users\\*\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\*",
                "?:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\*")

框架: MITRE ATT&CK^TM

战术
- 名称: 横向移动
- ID: TA0008
- 参考 URL: https://attack.mitre.org/tactics/TA0008/
技术
- 名称: 远程服务
- ID: T1021
- 参考 URL: https://attack.mitre.org/techniques/T1021/
子技术
- 名称: 远程桌面协议
- ID: T1021.001
- 参考 URL: https://attack.mitre.org/techniques/T1021/001/
战术
- 名称: 持久化
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称: 启动或登录自动启动执行
- ID: T1547
- 参考 URL: https://attack.mitre.org/techniques/T1547/
子技术
- 名称: 注册表运行键/启动文件夹
- ID: T1547.001
- 参考 URL: https://attack.mitre.org/techniques/T1547/001/

« 通过 Windows API 访问 LSASS 进程启动代理创建或修改以及立即加载 »