通过 Ping 实现延迟执行

编辑

通过 Ping 实现延迟执行编辑

识别通过延迟 Ping 执行来执行常用的 Windows 工具。此行为在恶意软件安装过程中经常出现，并且与攻击者试图逃避检测的行为一致。

规则类型: eql

规则索引:

logs-endpoint.events.process-*

严重程度: 低

风险评分: 21

运行频率: 5 分钟

搜索索引范围: now-9m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
策略: 执行
策略: 防御规避
数据源: Elastic Defend

版本: 3

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

规则查询编辑

sequence by process.parent.entity_id with maxspan=1m
  [process where host.os.type == "windows" and event.action == "start" and process.name : "ping.exe" and
   process.args : "-n" and process.parent.name : "cmd.exe" and not user.id : "S-1-5-18"]
  [process where host.os.type == "windows" and event.action == "start" and
   process.parent.name : "cmd.exe" and
   (
        process.name : (
            "rundll32.exe", "powershell.exe",
            "mshta.exe", "msbuild.exe",
            "certutil.exe", "regsvr32.exe",
            "powershell.exe", "cscript.exe",
            "wscript.exe", "wmic.exe",
            "installutil.exe", "msxsl.exe",
            "Microsoft.Workflow.Compiler.exe",
            "ieexec.exe", "iexpress.exe",
            "RegAsm.exe", "installutil.exe",
            "RegSvcs.exe", "RegAsm.exe"
        ) or
        (process.executable : "?:\\Users\\*\\AppData\\*.exe" and not process.code_signature.trusted == true)
    ) and

    not process.args : ("?:\\Program Files\\*", "?:\\Program Files (x86)\\*") and
    not (process.name : ("openssl.exe", "httpcfg.exe", "certutil.exe") and process.parent.command_line : "*ScreenConnectConfigurator.cmd*") and
    not (process.pe.original_file_name : "DPInst.exe" and process.command_line : "driver\\DPInst_x64  /f ") and
    not (process.name : "powershell.exe" and process.args : "Write-Host ======*") and
    not (process.name : "wscript.exe" and process.args : "launchquiet_args.vbs" and process.parent.args : "?:\\Windows\\TempInst\\7z*") and
    not (process.name : "regsvr32.exe" and process.args : ("?:\\windows\\syswow64\\msxml?.dll", "msxml?.dll", "?:\\Windows\\SysWOW64\\mschrt20.ocx")) and
    not (process.name : "wscript.exe" and
         process.working_directory :
                    ("?:\\Windows\\TempInst\\*",
                     "?:\\Users\\*\\AppData\\Local\\Temp\\BackupBootstrapper\\Logs\\",
                     "?:\\Users\\*\\AppData\\Local\\Temp\\QBTools\\"))
    ]

框架: MITRE ATT&CK^TM

策略
- 名称: 执行
- ID: TA0002
- 参考链接: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 命令和脚本解释器
- ID: T1059
- 参考链接: https://attack.mitre.org/techniques/T1059/
子技术
- 名称: PowerShell
- ID: T1059.001
- 参考链接: https://attack.mitre.org/techniques/T1059/001/
子技术
- 名称: Visual Basic
- ID: T1059.005
- 参考链接: https://attack.mitre.org/techniques/T1059/005/
策略
- 名称: 防御规避
- ID: TA0005
- 参考链接: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 系统脚本代理执行
- ID: T1216
- 参考链接: https://attack.mitre.org/techniques/T1216/
技术
- 名称: 系统二进制代理执行
- ID: T1218
- 参考链接: https://attack.mitre.org/techniques/T1218/
子技术
- 名称: CMSTP
- ID: T1218.003
- 参考链接: https://attack.mitre.org/techniques/T1218/003/
子技术
- 名称: InstallUtil
- ID: T1218.004
- 参考链接: https://attack.mitre.org/techniques/T1218/004/
子技术
- 名称: Mshta
- ID: T1218.005
- 参考链接: https://attack.mitre.org/techniques/T1218/005/
子技术
- 名称: Regsvcs/Regasm
- ID: T1218.009
- 参考链接: https://attack.mitre.org/techniques/T1218/009/
子技术
- 名称: Regsvr32
- ID: T1218.010
- 参考链接: https://attack.mitre.org/techniques/T1218/010/
子技术
- 名称: Rundll32
- ID: T1218.011
- 参考链接: https://attack.mitre.org/techniques/T1218/011/
技术
- 名称: XSL 脚本处理
- ID: T1220
- 参考链接: https://attack.mitre.org/techniques/T1220/
技术
- 名称: 虚拟化/沙盒规避
- ID: T1497
- 参考链接: https://attack.mitre.org/techniques/T1497/
子技术
- 名称: 基于时间的规避
- ID: T1497.003
- 参考链接: https://attack.mitre.org/techniques/T1497/003/

« 默认 Cobalt Strike 团队服务器证书使用 Fsutil 删除卷 USN 日志 »