› › ›

Azure AD 同步服务加载不受信任的 DLL

编辑

Azure AD 同步服务加载不受信任的 DLL

编辑

识别 Azure AD 同步进程加载了没有有效代码签名的 DLL，这可能表明有人试图持久化或收集通过 Azure AD 同步服务器的敏感凭据。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.library*
logs-windows.sysmon_operational-*

严重性: 高

风险评分: 73

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考资料:

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 凭据访问
数据源: Elastic Defend
数据源: Sysmon

版本: 101

规则作者:

Elastic
Matteo Potito Giorgio

规则许可: Elastic License v2

规则查询

编辑

any where host.os.type == "windows" and process.name : "AzureADConnectAuthenticationAgentService.exe" and
(
 (event.category == "library" and event.action == "load") or
 (event.category == "process" and event.action : "Image loaded*")
) and

not (?dll.code_signature.trusted == true or file.code_signature.status == "Valid") and not

  (
   /* Elastic defend DLL path */
   ?dll.path :
         ("?:\\Windows\\assembly\\NativeImages*",
          "?:\\Windows\\Microsoft.NET\\*",
          "?:\\Windows\\WinSxS\\*",
          "?:\\Windows\\System32\\DriverStore\\FileRepository\\*") or

   /* Sysmon DLL path is mapped to file.path */
   file.path :
         ("?:\\Windows\\assembly\\NativeImages*",
          "?:\\Windows\\Microsoft.NET\\*",
          "?:\\Windows\\WinSxS\\*",
          "?:\\Windows\\System32\\DriverStore\\FileRepository\\*")
  )

框架: MITRE ATT&CK^TM

战术
- 名称: 凭据访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
技术
- 名称: 操作系统凭据转储
- ID: T1003
- 参考 URL: https://attack.mitre.org/techniques/T1003/

« DNS 服务加载未签名 DLL 加载不受信任的驱动程序 »