通过 Outlook 的可疑进程间通信

编辑

通过 Outlook 的可疑进程间通信

编辑

检测通过组件对象模型 (Component Object Model) 与 Outlook 进行进程间通信的可疑进程。攻击者可能会通过 API 访问用户电子邮件，以收集敏感信息或代表用户发送电子邮件。

规则类型: eql

规则索引:

logs-endpoint.events.process*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引范围: now-9m ( 日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

https://github.com/center-for-threat-informed-defense/adversary_emulation_library/blob/master/apt29/Archive/CALDERA_DIY/evals/payloads/stepSeventeen_email.ps1

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 收集
数据源: Elastic Defend

版本: 7

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

sequence with maxspan=1m
[process where host.os.type == "windows" and event.action == "start" and
  (
    process.name : (
      "rundll32.exe", "mshta.exe", "powershell.exe", "pwsh.exe",
      "cmd.exe", "regsvr32.exe", "cscript.exe", "wscript.exe"
    ) or
    (
      (process.code_signature.trusted == false or process.code_signature.exists == false) and
      (process.Ext.relative_file_creation_time <= 500 or process.Ext.relative_file_name_modify_time <= 500)
    )
  )
] by process.entity_id
[process where host.os.type == "windows" and event.action == "start" and process.name : "OUTLOOK.EXE" and
  process.Ext.effective_parent.name != null] by process.Ext.effective_parent.entity_id

框架: MITRE ATT&CK^TM

战术
- 名称: 收集
- ID: TA0009
- 参考 URL: https://attack.mitre.org/tactics/TA0009/
技术
- 名称: 电子邮件收集
- ID: T1114
- 参考 URL: https://attack.mitre.org/techniques/T1114/
子技术
- 名称: 本地电子邮件收集
- ID: T1114.001
- 参考 URL: https://attack.mitre.org/techniques/T1114/001/
战术
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 进程间通信
- ID: T1559
- 参考 URL: https://attack.mitre.org/techniques/T1559/
子技术
- 名称: 组件对象模型
- ID: T1559.001
- 参考 URL: https://attack.mitre.org/techniques/T1559/001/

« 可疑的 ImagePath 服务创建从容器内部产生的可疑交互式 Shell »