› › ›

从具有网络连接的可移动媒体执行

编辑

从具有网络连接的可移动媒体执行编辑

识别从可移动媒体和异常进程执行。攻击者可能会通过将恶意软件复制到可移动媒体并利用自动运行功能（当媒体插入系统并执行时）来进入系统，可能是断开连接或气隙网络上的系统。

规则类型：eql

规则索引:

logs-endpoint.events.process-*
logs-endpoint.events.network-*

严重性：低

风险评分: 21

运行频率：5 分钟

搜索索引范围：now-9m（日期数学格式，另请参阅额外的回溯时间）

每次执行的最大警报数: 100

参考资料：无

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：初始访问
数据源：Elastic Defend

版本: 3

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

规则查询编辑

sequence by process.entity_id with maxspan=5m
 [process where host.os.type == "windows" and event.action == "start" and

  /* Direct Exec from USB */
  (process.Ext.device.bus_type : "usb" or process.Ext.device.product_id : "USB *") and
  (process.code_signature.trusted == false or process.code_signature.exists == false) and

  not process.code_signature.status : ("errorExpired", "errorCode_endpoint*")]
 [network where host.os.type == "windows" and event.action == "connection_attempted"]

框架：MITRE ATT&CK^TM

战术
- 名称：初始访问
- ID：TA0001
- 参考 URL：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：通过可移动媒体复制
- ID：T1091
- 参考 URL：https://attack.mitre.org/techniques/T1091/

« 从异常目录执行 - 命令行通过 Xwizard 执行 COM 对象 »