PowerShell 脚本块日志记录已禁用

编辑

PowerShell 脚本块日志记录已禁用

编辑

识别通过注册表修改禁用 PowerShell 脚本块日志记录的尝试。攻击者可能会禁用此日志记录，以隐藏他们在主机中的活动并逃避检测。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.registry-*
logs-windows.sysmon_operational-*
endgame-*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.PowerShell::EnableScriptBlockLogging

标签:

域：端点
操作系统：Windows
使用案例：威胁检测
策略：防御规避
资源：调查指南
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：Sysmon
数据源：Microsoft Defender for Endpoint
数据源：SentinelOne

版本: 310

规则作者:

Elastic

规则许可: Elastic License v2

调查指南

编辑

分类和分析

调查 PowerShell 脚本块日志记录已禁用

PowerShell 是系统管理员用于自动化、报告例程和其他任务的主要工具之一，使其在各种环境中可用，并为攻击者执行代码创造了一种有吸引力的方式。

PowerShell 脚本块日志记录是 PowerShell 的一项功能，它记录其处理的所有脚本块的内容，使防御者可以查看 PowerShell 脚本和执行的命令序列。

可能的调查步骤

确定执行操作的用户帐户以及该帐户是否应该执行此类操作。
调查未知进程的进程执行链（父进程树）。检查它们的可执行文件的普遍性，它们是否位于预期位置，以及它们是否使用有效的数字签名进行签名。
调查过去 48 小时内与用户/主机相关的其他警报。
检查用户使用 PowerShell 完成任务是否有意义。
调查是否在禁用日志记录后运行了 PowerShell 脚本。

误报分析

此活动不太可能合法发生。如果需要，可以将良性真阳性 (B-TP) 添加为例外。

相关规则

PowerShell 可疑的发现相关 Windows API 函数 - 61ac3638-40a3-44b2-855a-985636ca985e
PowerShell 键盘记录脚本 - bd2c86a0-8b61-4457-ab38-96943984e889
具有音频捕获功能的 PowerShell 可疑脚本 - 2f2f4939-0b34-40c2-a0a3-844eb7889f43
通过 PowerShell 进行的潜在进程注入 - 2e29e96a-b67c-455a-afe4-de6183431d0d
通过 PowerShell 进行的可疑 .NET 反射 - e26f042e-c590-4e82-8e05-41e81bd822ad
PowerShell 可疑的有效负载编码和压缩 - 81fe9dc6-a2d7-4192-a2d8-eed98afc766a
具有屏幕截图功能的 PowerShell 可疑脚本 - 959a7353-1129-4aa7-9084-30746b256a70

响应和补救

根据分类的结果启动事件响应流程。
隔离相关主机以防止进一步的入侵后行为。
审查分配给相关用户的权限，以确保遵循最小权限原则。
使用 GPO、AppLocker、Intune 或类似软件限制 IT 和工程业务部门之外的 PowerShell 使用。
运行完整的反恶意软件扫描。这可能会揭示系统中遗留的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始向量，并采取行动以防止通过相同的向量再次感染。
使用事件响应数据，更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑

registry where host.os.type == "windows" and event.type == "change" and
    registry.path : (
        "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows\\PowerShell\\ScriptBlockLogging\\EnableScriptBlockLogging",
        "\\REGISTRY\\MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\PowerShell\\ScriptBlockLogging\\EnableScriptBlockLogging",
        "MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\PowerShell\\ScriptBlockLogging\\EnableScriptBlockLogging"
    ) and registry.data.strings : ("0", "0x00000000")

框架: MITRE ATT&CK^TM

策略
- 名称：防御规避
- ID：TA0005
- 参考 URL：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：修改注册表
- ID：T1112
- 参考 URL：https://attack.mitre.org/techniques/T1112/
技术
- 名称：削弱防御
- ID：T1562
- 参考 URL：https://attack.mitre.org/techniques/T1562/
子技术
- 名称：禁用 Windows 事件日志记录
- ID：T1562.002
- 参考 URL：https://attack.mitre.org/techniques/T1562/002/

« PowerShell PSReflect 脚本具有存档压缩功能的 PowerShell 脚本 »