› › ›

使用 WinRar 或 7z 加密文件

编辑

使用 WinRar 或 7z 加密文件编辑

识别使用 WinRar 或 7z 创建加密文件。攻击者通常会在准备数据泄露之前压缩和加密数据。

规则类型：eql

规则索引:

logs-endpoint.events.process-*
winlogbeat-*
logs-windows.*
endgame-*

严重程度：中等

风险评分: 47

运行频率：5 分钟

搜索索引的时间范围：now-9m（日期数学格式，另请参阅额外的回溯时间）

每次执行的最大警报数: 100

参考:

https://www.welivesecurity.com/2020/12/02/turla-crutch-keeping-back-door-open/

标签:

域：终端
操作系统：Windows
用例：威胁检测
策略：收集
资源：调查指南
数据源：Elastic Endgame
数据源：Elastic Defend

版本: 112

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

分类和分析

调查使用 WinRar 或 7z 加密文件

攻击者可能会在数据泄露之前压缩和/或加密收集到的数据。压缩数据有助于混淆收集到的数据，并最大限度地减少通过网络发送的数据量。加密可用于隐藏正在泄露的信息以防止被检测到，或使泄露在防御者检查时不那么明显。

这些步骤通常是在准备数据泄露时完成的，这意味着攻击可能处于最后阶段。

可能的调查步骤

调查未知进程的脚本执行链（父进程树）。检查其可执行文件的流行程度、它们是否位于预期位置，以及它们是否使用有效的数字签名进行了签名。
检索加密文件。
调查过去 48 小时内与用户/主机相关的其他警报。
检查加密中使用的密码是否包含在命令行中。
解密 .rar/.zip 并检查信息是否敏感。
如果密码不可用，并且格式为 .zip 或 WinRAR 中使用的选项不是 -hp，则列出加密文件中包含的文件名。
调查文件是否已传输到攻击者控制的服务器。

误报分析

备份软件可以使用这些实用程序。检查 process.parent.executable 和 process.parent.command_line 字段以确定是什么触发了加密。

响应和修复

根据分类结果启动事件响应流程。
优先处理涉及个人身份信息 (PII) 或其他机密数据的案例。
隔离受影响的主机，以防止进一步的入侵后行为。
调查攻击者入侵或使用的系统上的凭据泄露情况，以确保识别所有受损帐户。重置这些帐户和其他可能泄露的凭据的密码，例如电子邮件、业务系统和 Web 服务。
运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他痕迹、持久性机制和恶意软件组件。
确定攻击者滥用的初始攻击向量，并采取措施防止通过同一向量再次感染。
使用事件响应数据，更新日志记录和审计策略，以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

如果在非 elastic-agent 索引（例如 beats）上为 <8.2 版本启用 EQL 规则，则事件不会定义 event.ingested，并且在 8.2 版本之前不会添加 EQL 规则的默认回退。因此，为了使此规则有效工作，用户需要添加自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

process where host.os.type == "windows" and event.type == "start" and
(
  (
    (
      process.name:"rar.exe" or ?process.code_signature.subject_name == "win.rar GmbH" or
      ?process.pe.original_file_name == "Command line RAR"
    ) and
    process.args == "a" and process.args : ("-hp*", "-p*", "/hp*", "/p*")
  ) or
  (
    ?process.pe.original_file_name in ("7z.exe", "7za.exe") and
    process.args == "a" and process.args : "-p*"
  )
) and
  not process.parent.executable : (
        "C:\\Program Files\\*.exe",
        "C:\\Program Files (x86)\\*.exe",
        "?:\\ManageEngine\\*\\jre\\bin\\java.exe",
        "?:\\Nox\\bin\\Nox.exe"
      )

框架：MITRE ATT&CK^TM

策略
- 名称：收集
- ID：TA0009
- 参考 URL：https://attack.mitre.org/tactics/TA0009/
技术
- 名称：来自本地系统的数据
- ID：T1005
- 参考 URL：https://attack.mitre.org/techniques/T1005/
技术
- 名称：归档收集的数据
- ID：T1560
- 参考 URL：https://attack.mitre.org/techniques/T1560/
子技术
- 名称：通过实用程序归档
- ID：T1560.001
- 参考 URL：https://attack.mitre.org/techniques/T1560/001/

« 编码的可执行文件存储在注册表中终端安全 »