可疑进程创建调用跟踪
编辑可疑进程创建调用跟踪
编辑识别进程被创建并立即从未知内存代码区域被同一父进程访问的情况。这可能表明存在代码注入尝试。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-windows.sysmon_operational-*
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引时间范围: now-9m (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考资料: 无
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 策略: 防御规避
- 资源: 调查指南
- 数据源: Sysmon
版本: 308
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查可疑进程创建调用跟踪
攻击者可能会将代码注入到子进程的内存中,以隐藏其真实活动,规避检测机制,并降低在取证过程中的可发现性。此规则查找由 Microsoft Office、脚本和命令行应用程序生成的进程,然后是父进程对未知内存区域的进程访问事件,这可能表明存在代码注入尝试。
可能的调查步骤
- 调查未知进程的进程执行链(父进程树)。检查它们的可执行文件是否普遍存在,是否位于预期位置,以及是否使用有效的数字签名进行签名。
- 调查主题进程的任何异常行为,例如网络连接、注册表或文件修改以及任何生成的子进程。
- 调查过去 48 小时内与用户/主机相关的其他警报。
- 检查警报时间范围内主机是否存在可疑或异常行为。
- 创建子进程的内存转储以进行分析。
误报分析
- 此活动不太可能合法发生。如果需要,可以将良性真阳性 (B-TP) 添加为例外。
响应和补救
- 根据分类结果启动事件响应流程。
- 隔离相关主机,以防止进一步的攻击后行为。
- 删除并阻止分类过程中识别出的恶意工件。
- 运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
- 调查在受攻击者攻击或使用的系统上的凭据暴露情况,以确保识别所有受损帐户。重置这些帐户和其他可能受损的凭据(例如电子邮件、业务系统和 Web 服务)的密码。
- 确定攻击者滥用的初始向量,并采取行动以防止通过相同的向量再次感染。
- 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
规则查询
编辑sequence by host.id with maxspan=1m
[process where host.os.type == "windows" and event.code == "1" and
/* sysmon process creation */
process.parent.name : ("winword.exe", "excel.exe", "outlook.exe", "powerpnt.exe", "eqnedt32.exe", "fltldr.exe",
"mspub.exe", "msaccess.exe","cscript.exe", "wscript.exe", "rundll32.exe", "regsvr32.exe",
"mshta.exe", "wmic.exe", "cmstp.exe", "msxsl.exe") and
/* noisy FP patterns */
not (process.parent.name : "EXCEL.EXE" and process.executable : "?:\\Program Files\\Microsoft Office\\root\\Office*\\ADDINS\\*.exe") and
not (process.executable : "?:\\Windows\\splwow64.exe" and process.args in ("8192", "12288") and process.parent.name : ("winword.exe", "excel.exe", "outlook.exe", "powerpnt.exe")) and
not (process.parent.name : "rundll32.exe" and process.parent.args : ("?:\\WINDOWS\\Installer\\MSI*.tmp,zzzzInvokeManagedCustomActionOutOfProc", "--no-sandbox")) and
not (process.executable :
("?:\\Program Files (x86)\\Microsoft\\EdgeWebView\\Application\\*\\msedgewebview2.exe",
"?:\\Program Files\\Adobe\\Acrobat DC\\Acrobat\\Acrobat.exe",
"?:\\Windows\\SysWOW64\\DWWIN.EXE") and
process.parent.name : ("winword.exe", "excel.exe", "outlook.exe", "powerpnt.exe")) and
not (process.parent.name : "regsvr32.exe" and process.parent.args : ("?:\\Program Files\\*", "?:\\Program Files (x86)\\*"))
] by process.parent.entity_id, process.entity_id
[process where host.os.type == "windows" and event.code == "10" and
/* Sysmon process access event from unknown module */
winlog.event_data.CallTrace : "*UNKNOWN*"] by process.entity_id, winlog.event_data.TargetProcessGUID
框架: MITRE ATT&CKTM
-
策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: 进程注入
- ID: T1055
- 参考 URL: https://attack.mitre.org/techniques/T1055/