› › ›

通过 Cmd.exe 复制二进制内容

编辑

通过 Cmd.exe 复制二进制内容编辑

攻击者可能会滥用 cmd.exe 命令将二进制片段重新组合成恶意负载。

规则类型：eql

规则索引:

logs-endpoint.events.process-*
logs-windows.sysmon_operational-*
endgame-*
logs-system.security*

严重性：低

风险评分: 21

运行频率：60 分钟

搜索的索引范围：now-119m（日期数学格式，另请参阅额外回溯时间）

每次执行的最大警报数: 100

参考：无

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：防御规避
战术：执行
数据源：Elastic Defend
规则类型：BBR
数据源：Sysmon
数据源：Elastic Endgame

版本: 4

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

规则查询编辑

process where host.os.type == "windows" and event.type == "start" and
  process.name : "cmd.exe" and (
    (process.args : "type" and process.args : (">", ">>")) or
    (process.args : "copy" and process.args : "/b"))

框架：MITRE ATT&CK^TM

战术
- 名称：防御规避
- ID：TA0005
- 参考链接：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：反混淆/解码文件或信息
- ID：T1140
- 参考链接：https://attack.mitre.org/techniques/T1140/
战术
- 名称：执行
- ID：TA0002
- 参考链接：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：命令和脚本解释器
- ID：T1059
- 参考链接：https://attack.mitre.org/techniques/T1059/
子技术
- 名称：Windows 命令行
- ID：T1059.003
- 参考链接：https://attack.mitre.org/techniques/T1059/003/

« Bash Shell 配置文件修改从共享内存目录执行二进制文件 »