› › ›

卷根目录下的备用数据流创建/执行

编辑

卷根目录下的备用数据流创建/执行编辑

识别在卷根目录下创建备用数据流 (ADS)，这可能表明试图隐藏工具和恶意软件，因为系统实用程序不会显示在此目录中创建的 ADS。

规则类型：eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-endpoint.events.file-*
logs-windows.sysmon_operational-*

严重性：中等

风险评分: 47

运行间隔：5 分钟

搜索索引范围：now-9m（日期数学格式，另请参阅 其他回溯时间）

每次执行的最大警报数: 100

参考:

https://www.crowdstrike.com/blog/anatomy-of-alpha-spider-ransomware/

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：防御规绕
数据源：Elastic Defend
数据源：Sysmon

版本: 1

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

规则查询编辑

any where host.os.type == "windows" and event.category in ("file", "process") and
  (
    (event.type == "creation" and file.path regex~ """[A-Z]:\\:.+""") or
    (event.type == "start" and process.executable regex~ """[A-Z]:\\:.+""")
  )

框架：MITRE ATT&CK^TM

战术
- 名称：防御规避
- ID：TA0005
- 参考链接：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：隐藏痕迹
- ID：T1564
- 参考链接：https://attack.mitre.org/techniques/T1564/
子技术
- 名称：NTFS 文件属性
- ID：T1564.004
- 参考链接：https://attack.mitre.org/techniques/T1564/004/

« 代理欺骗 - 多个主机使用同一代理异常的 Linux 编译器活动 »