Bitsadmin 活动
编辑Bitsadmin 活动编辑
Windows 后台智能传输服务 (BITS) 是一种低带宽、异步的文件传输机制。攻击者可能会滥用 BITS 来持久化、下载、执行甚至清理运行恶意代码后的痕迹。
规则类型: eql
规则索引:
- logs-endpoint.events.process-*
- logs-windows.sysmon_operational-*
- endgame-*
- logs-system.security*
严重性: 低
风险评分: 21
运行间隔: 60 分钟
搜索索引的时间范围: now-119m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考: 无
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 策略: 命令与控制
- 数据源: Elastic Defend
- 规则类型: BBR
- 数据源: Sysmon
- 数据源: Elastic Endgame
版本: 3
规则作者:
- Elastic
规则许可证: Elastic 许可证 v2
规则查询编辑
process where host.os.type == "windows" and event.type == "start" and
(
(process.name : "bitsadmin.exe" and process.args : (
"*Transfer*", "*Create*", "AddFile", "*SetNotifyFlags*", "*SetNotifyCmdLine*",
"*SetMinRetryDelay*", "*SetCustomHeaders*", "*Resume*")
) or
(process.name : "powershell.exe" and process.args : (
"*Start-BitsTransfer*", "*Add-BitsFile*",
"*Resume-BitsTransfer*", "*Set-BitsTransfer*", "*BITS.Manager*")
)
)
框架: MITRE ATT&CKTM
-
策略
- 名称: 命令与控制
- ID: TA0011
- 参考链接: https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称: 入侵工具传输
- ID: T1105
- 参考链接: https://attack.mitre.org/techniques/T1105/
-
策略
- 名称: 防御规避
- ID: TA0005
- 参考链接: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: BITS 任务
- ID: T1197
- 参考链接: https://attack.mitre.org/techniques/T1197/
-
策略
- 名称: 持久化
- ID: TA0003
- 参考链接: https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称: BITS 任务
- ID: T1197
- 参考链接: https://attack.mitre.org/techniques/T1197/