通过 Dism 实用程序启用的 Windows Linux 子系统
编辑通过 Dism 实用程序启用的 Windows Linux 子系统
编辑检测使用 Microsoft Dism 实用程序启用 Windows Linux 子系统的尝试。攻击者可能会启用并使用 WSL for Linux 以避免被检测到。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-endpoint.events.process-*
- logs-windows.forwarded*
- logs-windows.sysmon_operational-*
- endgame-*
- logs-system.security*
- logs-m365_defender.event-*
- logs-sentinel_one_cloud_funnel.*
- logs-crowdstrike.fdr*
严重性: 中
风险评分: 47
运行频率: 5m
搜索索引起始时间: now-9m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考资料:
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 策略: 防御规避
- 数据源: Elastic Endgame
- 数据源: Elastic Defend
- 数据源: 系统
- 数据源: Microsoft Defender for Endpoint
- 数据源: Sysmon
- 数据源: SentinelOne
- 数据源: Crowdstrike
版本: 209
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查通过 Dism 实用程序启用的 Windows Linux 子系统
Windows Linux 子系统 (WSL) 允许开发人员安装 Linux 发行版(如 Ubuntu、OpenSUSE、Kali、Debian、Arch Linux 等),并直接在 Windows 上使用 Linux 应用程序、实用程序和 Bash 命令行工具,无需传统的虚拟机或双启动设置的开销。攻击者可能会滥用 WSL 来规避 Windows 主机上的安全保护并执行各种攻击。
此规则识别使用 Dism 实用程序启用 WSL 的尝试。它监视 Dism 的执行,并检查命令行是否包含字符串“Microsoft-Windows-Subsystem-Linux”。
可能的调查步骤
- 识别执行操作的用户帐户以及该帐户是否应执行此类操作。
- 联系帐户所有者并确认他们是否知晓此活动。
- 调查过去 48 小时内与用户/主机相关的其他警报。
- 验证该活动是否与计划的补丁、更新、网络管理员活动或合法的软件安装无关。
- 通过查找跨主机的类似事件来评估此行为在环境中是否普遍存在。
误报分析
- 这是一个双重用途工具,这意味着它的使用并非本质上是恶意的。如果管理员知晓该活动,没有发现其他可疑活动,并且 WSL 在环境中经过认证和批准,分析师可以解除警报。
相关规则
- 通过 Windows Linux 子系统执行 - db7dbad5-08d2-4d25-b9b1-d3a1e4a15efd
- 通过 Windows Linux 子系统进行可疑执行 - 3e0eeb75-16e8-4f2f-9826-62461ca128b7
- 通过 Windows Linux 子系统进行主机文件系统更改 - e88d1fe9-b2f4-48d4-bace-a026dc745d4b
- Windows Linux 子系统发行版已安装 - a1699af0-8e1e-4ed0-8ec1-89783538a061
响应和补救
- 根据分类的结果启动事件响应过程。
- 隔离相关的主机,以防止进一步的入侵后行为。
- 运行完整的反恶意软件扫描。这可能会揭示系统中遗留的其他工件、持久化机制和恶意软件组件。
- 调查受攻击者入侵或使用的系统上的凭据泄露情况,以确保识别所有被入侵的帐户。重置这些帐户和其他可能泄露的凭据的密码,例如电子邮件、业务系统和 Web 服务。
- 确定攻击者滥用的初始向量,并采取行动以防止通过相同的向量重新感染。
- 使用事件响应数据,更新日志记录和审核策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
规则查询
编辑process where host.os.type == "windows" and event.type : "start" and (process.name : "Dism.exe" or ?process.pe.original_file_name == "DISM.EXE") and process.command_line : "*Microsoft-Windows-Subsystem-Linux*"
框架: MITRE ATT&CKTM
-
策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: 间接命令执行
- ID: T1202
- 参考 URL: https://attack.mitre.org/techniques/T1202/