Office 测试注册表持久化

编辑

识别对 Microsoft Office “Office 测试”注册表项的修改,该注册表位置可用于指定一个 DLL,该 DLL 将在每次启动 MS Office 应用程序时执行。攻击者可以滥用此功能以在受感染的主机上获得持久性。

规则类型: eql

规则索引:

  • logs-endpoint.events.registry-*
  • logs-m365_defender.event-*
  • endgame-*
  • logs-sentinel_one_cloud_funnel.*

严重性: 低

风险评分: 21

运行频率: 5m

搜索索引时间范围: now-9m (日期数学格式,另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域: 端点
  • 操作系统: Windows
  • 用例: 威胁检测
  • 策略: 持久化
  • 策略: 防御规避
  • 数据源: Elastic Defend
  • 数据源: Elastic Endgame
  • 数据源: Microsoft Defender for Endpoint
  • 数据源: SentinelOne

版本: 103

规则作者:

  • Elastic

规则许可: Elastic License v2

规则查询

编辑
registry where host.os.type == "windows" and event.action != "deletion" and
    registry.path : "*\\Software\\Microsoft\\Office Test\\Special\\Perf\\*"

框架: MITRE ATT&CKTM