潜在的 PowerShell 哈希传递/中继脚本

编辑

潜在的 PowerShell 哈希传递/中继脚本

编辑

检测可以执行哈希传递 (PtH) 攻击、拦截和中继 NTLM 质询以及执行其他中间人 (MitM) 攻击的 PowerShell 脚本。

规则类型:查询

规则索引:

  • winlogbeat-*
  • logs-windows.powershell*

严重性:高

风险评分: 73

运行频率:5 分钟

搜索索引时间范围:now-9m(日期数学格式,另请参见额外的回溯时间

每次执行的最大警报数: 100

参考资料:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 战术:凭证访问
  • 资源:调查指南
  • 数据源:PowerShell 日志

版本: 104

规则作者:

  • Elastic

规则许可证:Elastic License v2

设置

编辑

设置

必须启用PowerShell 脚本块日志记录日志策略。 使用高级审核配置实施日志策略的步骤

Computer Configuration >
Administrative Templates >
Windows PowerShell >
Turn on PowerShell Script Block Logging (Enable)

通过注册表实施日志策略的步骤

reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

规则查询

编辑
event.category:process and host.os.type:windows and
  powershell.file.script_block_text : (
    ("NTLMSSPNegotiate" and ("NegotiateSMB" or "NegotiateSMB2")) or
    "4E544C4D53535000" or
    "0x4e,0x54,0x4c,0x4d,0x53,0x53,0x50" or
    "0x4e,0x54,0x20,0x4c,0x4d" or
    "0x53,0x4d,0x42,0x20,0x32" or
    "0x81,0xbb,0x7a,0x36,0x44,0x98,0xf1,0x35,0xad,0x32,0x98,0xf0,0x38"
  ) and
  not file.directory : "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads"

框架:MITRE ATT&CKTM