通过异常客户端安装的 Windows 服务
编辑通过异常客户端安装的 Windows 服务
编辑识别由异常客户端进程创建的 Windows 服务。服务可能以管理员权限创建,但在 SYSTEM 权限下执行,因此攻击者也可能使用服务将权限从管理员提升到 SYSTEM。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重性: 高
风险评分: 73
运行频率: 5 分钟
搜索索引时间范围: now-9m (日期数学格式, 另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考:
- https://www.x86matthew.com/view_post?id=create_svc_rpc
- https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4697
- https://github.com/atc-project/atomic-threat-coverage/blob/master/Atomic_Threat_Coverage/Logging_Policies/LP_0100_windows_audit_security_system_extension.md
- https://elastic.ac.cn/security-labs/siestagraph-new-implant-uncovered-in-asean-member-foreign-ministry
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 策略:特权提升
- 数据源:系统
版本: 211
规则作者:
- Elastic
规则许可证: Elastic License v2
设置
编辑设置
必须为(成功)配置审核安全系统扩展日志记录策略,以使用高级审核配置实施日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > System > Audit Security System Extension (Success)
规则查询
编辑configuration where host.os.type == "windows" and
event.action == "service-installed" and
(winlog.event_data.ClientProcessId == "0" or winlog.event_data.ParentProcessId == "0") and
not winlog.event_data.ServiceFileName : (
"?:\\Windows\\VeeamVssSupport\\VeeamGuestHelper.exe",
"?:\\Windows\\VeeamLogShipper\\VeeamLogShipper.exe",
"%SystemRoot%\\system32\\Drivers\\Crowdstrike\\*-CsInstallerService.exe",
"\"%windir%\\AdminArsenal\\PDQInventory-Scanner\\service-1\\PDQInventory-Scanner-1.exe\" "
)
框架: MITRE ATT&CKTM
-
策略
- 名称:特权提升
- ID:TA0004
- 参考 URL:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:创建或修改系统进程
- ID:T1543
- 参考 URL:https://attack.mitre.org/techniques/T1543/
-
子技术
- 名称:Windows 服务
- ID:T1543.003
- 参考 URL:https://attack.mitre.org/techniques/T1543/003/