› › ›

通过 Windir 环境变量提权

编辑

通过 Windir 环境变量提权

编辑

识别通过恶意 Windows 目录 (Windir) 环境变量进行的提权尝试。这是一种已知的原语，通常与其他漏洞结合使用以提升权限。

规则类型: eql

规则索引:

logs-endpoint.events.registry-*
endgame-*
logs-windows.sysmon_operational-*
winlogbeat-*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*

严重性: 高

风险评分: 73

运行频率: 5分钟

搜索索引起始时间: now-9m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大告警数: 100

参考资料:

https://www.tiraniddo.dev/2017/05/exploiting-environment-variables-in.html

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 权限提升
数据源: Elastic Endgame
数据源: Elastic Defend
数据源: Sysmon
数据源: Microsoft Defender for Endpoint
数据源: SentinelOne

版本: 308

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

registry where host.os.type == "windows" and event.type == "change" and
registry.value : ("windir", "systemroot") and
registry.path : (
    "HKEY_USERS\\*\\Environment\\windir",
    "HKEY_USERS\\*\\Environment\\systemroot",
    "HKU\\*\\Environment\\windir",
    "HKU\\*\\Environment\\systemroot",
    "HKCU\\*\\Environment\\windir",
    "HKCU\\*\\Environment\\systemroot",
    "\\REGISTRY\\USER\\*\\Environment\\windir",
    "\\REGISTRY\\USER\\*\\Environment\\systemroot",
    "USER\\*\\Environment\\windir",
    "USER\\*\\Environment\\systemroot"
    ) and
 not registry.data.strings : ("C:\\windows", "%SystemRoot%")

框架: MITRE ATT&CK^TM

战术
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
技术
- 名称: 劫持执行流程
- ID: T1574
- 参考 URL: https://attack.mitre.org/techniques/T1574/
子技术
- 名称: 通过 PATH 环境变量路径拦截
- ID: T1574.007
- 参考 URL: https://attack.mitre.org/techniques/T1574/007/

« 通过 SUID/SGID 提权特权账户暴力破解 »