Windows 脚本执行 PowerShell

编辑

Windows 脚本执行 PowerShell

编辑

识别由 cscript.exe 或 wscript.exe 启动的 PowerShell 进程。观察 Windows 脚本进程执行 PowerShell 脚本可能表明存在恶意活动。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-windows.sysmon_operational-*
endgame-*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引的时间范围: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

https://elastic.ac.cn/security-labs/operation-bleeding-bear

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 初始访问
战术: 执行
资源: 调查指南
数据源: Elastic Endgame
数据源: Elastic Defend
数据源: Sysmon
数据源: Microsoft Defender for Endpoint
数据源: SentinelOne

版本: 312

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

初步评估和分析

调查 Windows 脚本执行 PowerShell

Windows 脚本主机 (WSH) 是一种 Windows 自动化技术，非常适合非交互式脚本需求，例如登录脚本、管理脚本和机器自动化。

攻击者通常使用 WSH 脚本作为他们的初始访问方法，充当第二阶段有效负载的投递器，但也可能使用它们下载实现其目标所需的工具和实用程序。

此规则查找以 cscript.exe 或 wscript.exe 作为父进程的 powershell.exe 进程的生成。

可能的调查步骤

调查未知进程的进程执行链（父进程树）。检查它们的可执行文件是否普遍存在、是否位于预期位置以及是否使用有效的数字签名进行签名。
调查由生成的 PowerShell 进程执行的命令。
如果在进程树上发现未签名的文件，请检索它们并确定它们是否是恶意的。
使用私有沙盒恶意软件分析系统执行分析。
观察并收集有关以下活动的信息
尝试联系外部域和地址。
文件和注册表访问、修改和创建活动。
服务创建和启动活动。
计划任务创建。
使用 PowerShell Get-FileHash cmdlet 获取文件的 SHA-256 哈希值。
在 VirusTotal、Hybrid-Analysis、CISCO Talos、Any.run 等资源中搜索哈希的存在和信誉。
确定脚本文件的传递方式（电子邮件附件、由其他进程删除等）。
调查过去 48 小时内与用户/主机关联的其他警报。

误报分析

普通用户不太可能使用这些脚本引擎。对于授权的良性真阳性 (B-TP)，可以添加例外情况。

响应和补救

根据初步评估的结果启动事件响应流程。
隔离相关主机，以防止进一步的入侵后行为。
如果初步评估识别出恶意软件，请在环境中搜索其他受感染的主机。
实施临时网络规则、程序和分段，以遏制恶意软件。
停止可疑进程。
立即阻止已识别的入侵指标 (IoC)。
检查受影响的系统中是否存在其他恶意软件后门，例如反向 shell、反向代理或攻击者可能用来重新感染系统的投递器。
删除并阻止在初步评估期间识别的恶意工件。
如果恶意文件是通过网络钓鱼传递的
阻止电子邮件发件人发送未来的电子邮件。
阻止恶意网页。
从邮箱中删除发件人的电子邮件。
考虑改进安全意识计划。
重新映像主机操作系统并将受损文件还原到干净版本。
运行完整的反恶意软件扫描。这可能会发现系统中遗留的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始向量，并采取措施防止通过同一向量重新感染。
使用事件响应数据，更新日志记录和审核策略，以提高检测平均时间 (MTTD) 和响应平均时间 (MTTR)。

规则查询

编辑

process where host.os.type == "windows" and event.type == "start" and
  process.parent.name : ("cscript.exe", "wscript.exe") and process.name : "powershell.exe" and
  not (
    process.parent.name : "wscript.exe" and
    process.parent.args : "?:\\ProgramData\\intune-drive-mapping-generator\\IntuneDriveMapping-VBSHelper.vbs" and
    process.parent.args : "?:\\ProgramData\\intune-drive-mapping-generator\\DriveMapping.ps1"
  )

框架: MITRE ATT&CK^TM

战术
- 名称: 初始访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
技术
- 名称: 网络钓鱼
- ID: T1566
- 参考 URL: https://attack.mitre.org/techniques/T1566/
子技术
- 名称: 鱼叉式网络钓鱼附件
- ID: T1566.001
- 参考 URL: https://attack.mitre.org/techniques/T1566/001/
战术
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 命令和脚本解释器
- ID: T1059
- 参考 URL: https://attack.mitre.org/techniques/T1059/
子技术
- 名称: PowerShell
- ID: T1059.001
- 参考 URL: https://attack.mitre.org/techniques/T1059/001/
子技术
- 名称: Visual Basic
- ID: T1059.005
- 参考 URL: https://attack.mitre.org/techniques/T1059/005/

« 在 SMB 共享中创建 Windows 注册表文件通过 WMI 执行进程的 Windows 脚本解释器 »