通过 Microsoft Office 加载项实现持久化

编辑

通过 Microsoft Office 加载项实现持久化

编辑

检测通过滥用 Microsoft Office 加载项在端点上建立持久化的尝试。

规则类型: eql

规则索引:

logs-endpoint.events.file-*
winlogbeat-*
logs-windows.sysmon_operational-*
endgame-*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*

严重程度: 高

风险评分: 73

运行频率: 5 分钟

搜索索引起始时间: now-9m ( 日期数学格式, 另请参阅 额外回溯时间 )

每次执行的最大告警数量: 100

参考:

https://labs.withsecure.com/publications/add-in-opportunities-for-office-persistence

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
策略: 持久化
数据源: Elastic Endgame
数据源: Elastic Defend
数据源: Sysmon
数据源: Microsoft Defender for Endpoint
数据源: SentinelOne

版本: 308

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

file where host.os.type == "windows" and event.type != "deletion" and
 file.extension : ("wll","xll","ppa","ppam","xla","xlam") and
 file.path :
    (
    "C:\\Users\\*\\AppData\\Roaming\\Microsoft\\Word\\Startup\\*",
    "C:\\Users\\*\\AppData\\Roaming\\Microsoft\\AddIns\\*",
    "C:\\Users\\*\\AppData\\Roaming\\Microsoft\\Excel\\XLSTART\\*"
    )

框架: MITRE ATT&CK^TM

策略
- 名称: 持久化
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称: Office 应用程序启动
- ID: T1137
- 参考 URL: https://attack.mitre.org/techniques/T1137/
子技术
- 名称: 加载项
- ID: T1137.006
- 参考 URL: https://attack.mitre.org/techniques/T1137/006/

« 通过登录或注销钩子实现持久化通过 Microsoft Outlook VBA 实现持久化 »