潜在端口监视器或打印处理器注册滥用

编辑

潜在端口监视器或打印处理器注册滥用

编辑

识别端口监视器和打印处理器注册表修改。攻击者可能会滥用端口监视器和打印处理器,在系统启动期间运行恶意 DLL,如果权限允许为该 DLL 写入完全限定的路径名,则这些 DLL 将以 SYSTEM 身份执行,以进行权限提升和/或持久化。

规则类型: eql

规则索引:

  • logs-endpoint.events.registry-*
  • endgame-*
  • logs-m365_defender.event-*

严重性: 中

风险评分: 47

运行频率: 5分钟

搜索索引起始时间: now-9m ( 日期数学格式,另请参见 额外的回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域: 端点
  • 操作系统: Windows
  • 用例: 威胁检测
  • 战术: 权限提升
  • 数据源: Elastic Endgame
  • 数据源: Elastic Defend
  • 数据源: Microsoft Defender for Endpoint

版本: 108

规则作者:

  • Elastic

规则许可: Elastic License v2

规则查询

编辑
registry where host.os.type == "windows" and event.type == "change" and
  registry.path : (
      "HKLM\\SYSTEM\\*ControlSet*\\Control\\Print\\Monitors\\*",
      "HKLM\\SYSTEM\\*ControlSet*\\Control\\Print\\Environments\\Windows*\\Print Processors\\*",
      "\\REGISTRY\\MACHINE\\SYSTEM\\*ControlSet*\\Control\\Print\\Monitors\\*",
      "\\REGISTRY\\MACHINE\\SYSTEM\\*ControlSet*\\Control\\Print\\Environments\\Windows*\\Print Processors\\*"
  ) and registry.data.strings : "*.dll" and
  /* exclude SYSTEM SID - look for changes by non-SYSTEM user */
  not user.id : "S-1-5-18"

框架: MITRE ATT&CKTM