通过 DLL 劫持利用 WPS Office
编辑通过 DLL 劫持利用 WPS Office
编辑识别 WPS Office 的 promecefpluginhost.exe 可执行文件加载远程库的行为。这可能表明通过 DLL 劫持利用 ksoqing 自定义协议处理程序成功利用了 CVE-2024-7262 或 CVE-2024-7263。
规则类型: eql
规则索引:
- logs-endpoint.events.library-*
- logs-windows.sysmon_operational-*
严重性: 高
风险评分: 73
运行频率: 5 分钟
搜索索引时间范围: now-9m (日期数学格式, 另请参阅 额外的回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 战术: 初始访问
- 战术: 执行
- 数据源: Elastic Defend
- 数据源: Sysmon
版本: 101
规则作者:
- Elastic
规则许可: Elastic License v2
规则查询
编辑any where host.os.type == "windows" and process.name : "promecefpluginhost.exe" and
(
(event.category == "library" and
?dll.path :
("?:\\Users\\*\\AppData\\Local\\Temp\\wps\\INetCache\\*",
"\\Device\\Mup\\**", "\\\\*")) or
((event.category == "process" and event.action : "Image loaded*") and
?file.path :
("?:\\Users\\*\\AppData\\Local\\Temp\\wps\\INetCache\\*",
"\\Device\\Mup\\**", "\\\\*"))
)
框架: MITRE ATT&CKTM
-
战术
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称: 客户端执行漏洞利用
- ID: T1203
- 参考 URL: https://attack.mitre.org/techniques/T1203/
-
战术
- 名称: 初始访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称: 驱动式入侵
- ID: T1189
- 参考 URL: https://attack.mitre.org/techniques/T1189/