› › ›

浏览器扩展程序安装

编辑

浏览器扩展程序安装编辑

识别浏览器扩展程序的安装。恶意浏览器扩展程序可以通过伪装成合法扩展程序的应用商店下载、社会工程或已经入侵系统的攻击者来安装。

规则类型：eql

规则索引:

logs-endpoint.events.file-*

严重性：低

风险评分: 21

运行频率：5分钟

搜索索引范围：now-9m（日期数学格式，另请参阅 其他回溯时间）

每次执行的最大警报数: 100

参考：无

标签:

域：终端
操作系统：Windows
用例：威胁检测
战术：持久化
数据源：Elastic Defend

版本: 2

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

规则查询编辑

file where host.os.type == "windows" and event.action : "creation" and
(
  /* Firefox-Based Browsers */
  (
    file.name : "*.xpi" and
    file.path : "?:\\Users\\*\\AppData\\Roaming\\*\\Profiles\\*\\Extensions\\*.xpi" and
    not
    (
      process.name : "firefox.exe" and
      file.name : ("langpack-*@firefox.mozilla.org.xpi", "*@dictionaries.addons.mozilla.org.xpi")
    )
  ) or
  /* Chromium-Based Browsers */
  (
    file.name : "*.crx" and
    file.path : "?:\\Users\\*\\AppData\\Local\\*\\*\\User Data\\Webstore Downloads\\*"
  )
)

框架：MITRE ATT&CK^TM

战术
- 名称：持久化
- ID：TA0003
- 参考链接： https://attack.mitre.org/tactics/TA0003/
技术
- 名称：浏览器扩展程序
- ID：T1176
- 参考链接： https://attack.mitre.org/techniques/T1176/

« Bitsadmin 活动通过事件查看器绕过 UAC »