« 可疑进程创建调用跟踪 加载可疑 RDP ActiveX 客户端 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和告警 预构建规则参考

通过重命名 PsExec 可执行文件执行可疑进程

编辑

通过重命名 PsExec 可执行文件执行可疑进程

编辑

识别通过已重命名的 psexec 服务执行的可疑 psexec 活动,这可能是为了逃避检测。

规则类型: eql

规则索引:

  • winlogbeat-*
  • logs-endpoint.events.process-*
  • logs-windows.sysmon_operational-*
  • endgame-*
  • logs-m365_defender.event-*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-9m ( 日期数学格式,另请参阅 额外的回溯时间 )

每次执行的最大告警数: 100

参考: 无

标签:

  • 域: 端点
  • 操作系统: Windows
  • 用例: 威胁检测
  • 战术: 执行
  • 战术: 防御规避
  • 数据源: Elastic Endgame
  • 资源: 调查指南
  • 数据源: Elastic Defend
  • 数据源: Sysmon
  • 数据源: Microsoft Defender for Endpoint

版本: 212

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查通过重命名 PsExec 可执行文件执行的可疑进程

PsExec 是一种远程管理工具,允许在 Windows 系统上使用常规和 SYSTEM 权限执行命令。它的工作方式是在远程系统上执行一个服务组件 Psexecsvc,然后运行指定的进程并将结果返回到本地系统。Microsoft 开发 PsExec 作为 Sysinternals Suite 的一部分。尽管管理员通常使用 PsExec,但攻击者经常使用 PsExec 来实现横向移动,并以 SYSTEM 身份执行命令来禁用防御和绕过安全保护。

此规则识别使用自定义名称执行 PsExec 服务组件的实例。这种行为可能表明试图绕过安全控制或检测默认 PsExec 服务组件名称的检测。

可能的调查步骤

  • 检查此工具的使用是否符合组织的管理策略。
  • 调查过去 48 小时内与用户/主机相关的其他告警。
  • 确定执行操作的用户帐户以及是否应执行此类操作。
  • 确定目标计算机及其在 IT 环境中的角色。
  • 调查运行了哪些命令,并通过查找跨主机的类似事件来评估这种行为是否在环境中普遍存在。

误报分析

  • 此机制可以合法使用。只要分析人员没有发现与用户或相关主机相关的可疑活动,并且该工具在组织策略中被允许,则可以忽略此类告警。

响应和补救

  • 根据分类结果启动事件响应过程。
  • 优先处理涉及关键服务器和用户的案例。
  • 隔离相关主机以防止进一步的入侵后行为。
  • 调查受攻击者入侵或使用的系统上的凭据泄露情况,以确保识别所有受损帐户。重置这些帐户和其他可能泄露的凭据(如电子邮件、业务系统和 Web 服务)的密码。
  • 运行完整的反恶意软件扫描。这可能会揭示系统中遗留的其他工件、持久性机制和恶意软件组件。
  • 确定攻击者滥用的初始向量,并采取行动以防止通过同一向量再次感染。
  • 审查分配给用户的权限,以确保遵循最小权限原则。
  • 使用事件响应数据,更新日志记录和审核策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑
process where host.os.type == "windows" and event.type == "start" and
  process.pe.original_file_name : "psexesvc.exe" and not process.name : "PSEXESVC.exe"

框架: MITRE ATT&CKTM

« 可疑进程创建调用跟踪 加载可疑 RDP ActiveX 客户端 »