« 通过 systemsetup 命令启用远程 SSH 登录 通过 RPC 创建远程计划任务 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和警报 预构建规则参考

远程计划任务创建

编辑

远程计划任务创建

编辑

识别目标主机上远程计划任务的创建。这可能预示着攻击者的横向移动。

规则类型: eql

规则索引:

  • logs-endpoint.events.registry-*
  • logs-endpoint.events.network-*
  • winlogbeat-*
  • logs-windows.sysmon_operational-*

严重性: 中

风险评分: 47

运行频率: 5分钟

搜索索引起始时间: now-9m (日期数学格式,另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域: 端点
  • 操作系统: Windows
  • 用例: 威胁检测
  • 战术: 横向移动
  • 资源: 调查指南
  • 数据源: Elastic Defend
  • 数据源: Sysmon

版本: 210

规则作者:

  • Elastic

规则许可: Elastic License v2

调查指南

编辑

初步分析和分析

调查远程计划任务创建

计划任务是持久性和程序执行的强大机制。这些功能可以出于各种合法原因远程使用,但同时也被恶意软件和攻击者利用。在调查远程设置的计划任务时,第一步应该是确定配置背后的最初意图,并验证该活动是否与良性行为(如软件安装或任何类型的网络管理员工作)相关。这些警报的一个目标是了解计划任务中配置的操作。这将在该规则的注册表事件数据中捕获,并且可以进行 base64 解码以查看该值。

可能的调查步骤

  • 查看 base64 编码的任务操作注册表值,以调查配置的任务操作。
  • 验证该活动是否与计划的补丁、更新、网络管理员活动或合法软件安装无关。
  • 进一步的检查应包括查看计划任务创建前后源计算机和目标计算机上的基于主机的工件和网络日志。

误报分析

  • 由于远程计划任务的创建是 Windows 中的一项通用功能,并且出于各种合法目的而被广泛使用,因此很有可能与良性活动相关联。应找到任何类型的上下文来进一步了解活动的来源,并根据计划任务的内容确定意图。

相关规则

  • 服务命令横向移动 - d61cbcf8-1bc1-4cff-85ba-e7b21c5beedc
  • 通过 RPC 远程启动的服务 - aa9a274d-6b53-424d-ac5e-cb8ca4251650

响应和补救

  • 根据初步分析的结果启动事件响应流程。
  • 隔离相关主机,以防止进一步的入侵后行为。
  • 删除计划任务和任何其他相关工件。
  • 查看特权帐户管理和用户帐户管理设置。考虑实施组策略对象 (GPO) 策略以进一步限制活动,或配置仅允许管理员创建远程计划任务的设置。

规则查询

编辑
/* Task Scheduler service incoming connection followed by TaskCache registry modification  */

sequence by host.id, process.entity_id with maxspan = 1m
   [network where host.os.type == "windows" and process.name : "svchost.exe" and
   network.direction : ("incoming", "ingress") and source.port >= 49152 and destination.port >= 49152 and
   source.ip != "127.0.0.1" and source.ip != "::1"
   ]
   [registry where host.os.type == "windows" and event.type == "change" and registry.value : "Actions" and
    registry.path : "HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tasks\\*\\Actions"]

框架: MITRE ATT&CKTM

« 通过 systemsetup 命令启用远程 SSH 登录 通过 RPC 创建远程计划任务 »