› › ›

卷根目录下的备用数据流创建/执行

编辑

卷根目录下的备用数据流创建/执行

编辑

识别在卷根目录下创建备用数据流 (ADS) 的行为，这可能表明试图隐藏工具和恶意软件，因为在此目录中创建的 ADS 不会通过系统实用程序显示。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-endpoint.events.file-*
logs-windows.sysmon_operational-*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*
endgame-*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考:

https://www.crowdstrike.com/blog/anatomy-of-alpha-spider-ransomware/

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
策略: 防御规避
数据源: Elastic Defend
数据源: Sysmon
数据源: Microsoft Defender for Endpoint
数据源: SentinelOne
数据源: Elastic Endgame

版本: 201

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

any where host.os.type == "windows" and event.category in ("file", "process") and
  (
    (event.type == "creation" and file.path regex~ """[A-Z]:\\:.+""") or
    (event.type == "start" and process.executable regex~ """[A-Z]:\\:.+""")
  )

框架: MITRE ATT&CK^TM

策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 隐藏工件
- ID: T1564
- 参考 URL: https://attack.mitre.org/techniques/T1564/
子技术
- 名称: NTFS 文件属性
- ID: T1564.004
- 参考 URL: https://attack.mitre.org/techniques/T1564/004/

« 代理欺骗 - 多台主机使用同一代理异常的 Linux 编译器活动 »