具有可疑属性的 Windows 安装程序
编辑具有可疑属性的 Windows 安装程序
编辑识别从存档或具有可疑属性执行的安装程序。攻击者可能会滥用 msiexec.exe 来启动本地或网络可访问的 MSI 文件,以尝试绕过应用程序白名单。
规则类型: eql
规则索引:
- logs-endpoint.events.*
严重性: 低
风险评分: 21
运行频率: 60m
搜索索引范围: now-119m ( 日期数学格式,另请参阅 额外的回溯时间
)
每次执行的最大警报数: 100
参考资料:
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 策略:防御规避
- 规则类型:BBR
- 数据源:Elastic Defend
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑sequence with maxspan=1m [registry where host.os.type == "windows" and event.type == "change" and process.name : "msiexec.exe" and ( (registry.value : "InstallSource" and registry.data.strings : ("?:\\Users\\*\\Temp\\Temp?_*.zip\\*", "?:\\Users\\*\\*.7z\\*", "?:\\Users\\*\\*.rar\\*")) or (registry.value : ("DisplayName", "ProductName") and registry.data.strings : "SetupTest") )] [process where host.os.type == "windows" and event.action == "start" and process.parent.name : "msiexec.exe" and not process.name : "msiexec.exe" and not (process.executable : ("?:\\Program Files (x86)\\*.exe", "?:\\Program Files\\*.exe") and process.code_signature.trusted == true)]
框架: MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID:TA0005
- 参考 URL:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:系统二进制代理执行
- ID:T1218
- 参考 URL:https://attack.mitre.org/techniques/T1218/
-
子技术
- 名称:Msiexec
- ID:T1218.007
- 参考 URL:https://attack.mitre.org/techniques/T1218/007/