具有归档压缩功能的 PowerShell 脚本

编辑

具有归档压缩功能的 PowerShell 脚本

编辑

识别与归档压缩活动相关的 Cmdlet 和方法的使用。攻击者通常会压缩和加密数据,以准备进行数据泄露。

规则类型: 查询

规则索引:

  • winlogbeat-*
  • logs-windows.powershell*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引的时间范围: now-9m (日期数学格式,另请参阅额外回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

  • 域: 端点
  • 操作系统: Windows
  • 用例: 威胁检测
  • 战术: 收集
  • 数据源: PowerShell 日志
  • 规则类型: BBR

版本: 208

规则作者:

  • Elastic

规则许可: Elastic License v2

设置

编辑

设置

必须启用“PowerShell 脚本块日志记录”日志策略。使用高级审核配置实现日志策略的步骤

Computer Configuration >
Administrative Templates >
Windows PowerShell >
Turn on PowerShell Script Block Logging (Enable)

通过注册表实现日志策略的步骤

reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

规则查询

编辑
event.category:process and host.os.type:windows and
(
  powershell.file.script_block_text : (
    "IO.Compression.ZipFile" or
    "IO.Compression.ZipArchive" or
    "ZipFile.CreateFromDirectory" or
    "IO.Compression.BrotliStream" or
    "IO.Compression.DeflateStream" or
    "IO.Compression.GZipStream" or
    "IO.Compression.ZLibStream"
  ) and
  powershell.file.script_block_text : (
    "CompressionLevel" or
    "CompressionMode" or
    "ZipArchiveMode"
  ) or
  powershell.file.script_block_text : "Compress-Archive"
) and
not powershell.file.script_block_text : (
  "Compress-Archive -Path 'C:\ProgramData\Lenovo\Udc\diagnostics\latest" or
  ("Copyright: (c) 2017, Ansible Project" and "Ansible.ModuleUtils.Backup")
) and
not file.directory : "C:\Program Files\Microsoft Dependency Agent\plugins\lib"

框架: MITRE ATT&CKTM