具有加密/解密功能的 PowerShell 脚本

编辑

具有加密/解密功能的 PowerShell 脚本

编辑

识别在 PowerShell 脚本中使用的与文件加密/解密相关的 Cmdlet 和方法，恶意软件和攻击性安全工具可能会滥用这些功能来加密数据或解密有效负载，以绕过安全解决方案。

规则类型: 查询

规则索引:

winlogbeat-*
logs-windows.powershell*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引范围: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 防御规避
数据源: PowerShell 日志
资源: 调查指南

版本: 109

规则作者:

Elastic

规则许可: Elastic License v2

调查指南

编辑

分类与分析

调查具有加密/解密功能的 PowerShell 脚本

PowerShell 是系统管理员用于自动化、报告例程和其他任务的主要工具之一，使其可在各种环境中使用，这为攻击者执行代码创造了有吸引力的方式。

PowerShell 提供了加密和解密功能，攻击者可以滥用这些功能来实现各种目的，例如隐藏有效负载、C2 通信以及加密数据作为勒索软件操作的一部分。

可能的调查步骤

检查触发检测的脚本内容；查找可疑的 DLL 导入、收集或数据泄露功能、可疑函数、编码或压缩数据以及其他潜在的恶意特征。
调查脚本执行链（父进程树）中的未知进程。检查它们的可执行文件是否普遍存在、是否位于预期位置以及是否使用有效的数字签名进行签名。
检查来自相关 PowerShell 进程的文件或网络事件是否存在可疑行为。
调查过去 48 小时内与用户/主机相关的其他告警。
评估用户是否需要使用 PowerShell 来完成任务。

误报分析

这是一种双重用途机制，这意味着它的使用并非本质上是恶意的。如果脚本不包含恶意功能或滥用可能性，没有发现其他可疑活动，并且执行具有正当理由，分析师可以忽略该告警。

响应和补救

根据分类的结果启动事件响应流程。
隔离相关主机，以防止进一步的入侵后行为。
使用 GPO、AppLocker、Intune 或类似软件限制 IT 和工程业务部门之外的 PowerShell 使用。
调查攻击者入侵或使用的系统上的凭据泄露情况，以确保识别所有受损帐户。重置这些帐户和其他可能泄露的凭据的密码，例如电子邮件、业务系统和 Web 服务。
运行完整的反恶意软件扫描。这可能会揭示系统中遗留的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始向量，并采取行动以防止通过相同向量再次感染。
使用事件响应数据，更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑

event.category:process and host.os.type:windows and
  powershell.file.script_block_text : (
    (
      "Cryptography.AESManaged" or
      "Cryptography.RijndaelManaged" or
      "Cryptography.SHA1Managed" or
      "Cryptography.SHA256Managed" or
      "Cryptography.SHA384Managed" or
      "Cryptography.SHA512Managed" or
      "Cryptography.SymmetricAlgorithm" or
      "PasswordDeriveBytes" or
      "Rfc2898DeriveBytes"
    ) and
    (
      CipherMode and PaddingMode
    ) and
    (
      ".CreateEncryptor" or
      ".CreateDecryptor"
    )
  ) and
  not user.id : "S-1-5-18" and
  not (
    file.name : "Bootstrap.Octopus.FunctionAppenderContext.ps1" and
    powershell.file.script_block_text : ("function Decrypt-Variables" or "github.com/OctopusDeploy")
  )

框架: MITRE ATT&CK^TM

战术
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 混淆文件或信息
- ID: T1027
- 参考 URL: https://attack.mitre.org/techniques/T1027/
技术
- 名称: 解除混淆/解码文件或信息
- ID: T1140
- 参考 URL: https://attack.mitre.org/techniques/T1140/

« 具有发现功能的 PowerShell 脚本具有清除日志功能的 PowerShell 脚本 »