« 伪装成内核进程的可执行文件 从具有网络连接的可移动介质执行 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和警报 预构建规则参考

从异常目录执行 - 命令行

编辑

从异常目录执行 - 命令行

编辑

识别从可疑的默认 Windows 目录执行的进程。攻击者可能会滥用此功能将恶意软件隐藏在受信任的路径中。

规则类型: eql

规则索引:

  • winlogbeat-*
  • logs-endpoint.events.process-*
  • logs-windows.forwarded*
  • logs-windows.sysmon_operational-*
  • endgame-*
  • logs-system.security*
  • logs-m365_defender.event-*
  • logs-sentinel_one_cloud_funnel.*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引起始时间: now-9m (Date Math 格式,另请参阅 附加回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 策略:执行
  • 策略:防御规避
  • 资源:调查指南
  • 数据源:Elastic Endgame
  • 数据源:Elastic Defend
  • 数据源:系统
  • 数据源:Microsoft Defender for Endpoint
  • 数据源:Sysmon
  • 数据源:SentinelOne

版本: 314

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查从异常目录执行 - 命令行

此规则查找从异常目录执行的脚本。攻击者可以使用系统或应用程序路径来隐藏恶意软件,并使执行看起来不那么可疑。

注意:此调查指南使用 Elastic Stack 版本 8.5.0 中引入的 Osquery Markdown 插件。较旧的 Elastic Stack 版本将在此指南中显示未呈现的 Markdown。

可能的调查步骤

  • 调查未知进程的进程执行链(父进程树)。检查它们的可执行文件是否普遍存在,是否位于预期位置,以及是否使用有效的数字签名进行签名。
  • 调查过去 48 小时内与用户/主机相关的其他警报。
  • 检查命令行以确定执行了哪些命令或脚本。
  • 检查主机是否有衍生出的指示可疑活动的工件
  • 使用私有沙盒分析系统分析脚本。
  • 在沙盒和警报主体主机中观察并收集有关以下活动的信息
  • 尝试联系外部域和地址。
  • 使用 Elastic Defend 网络事件,通过按进程的 process.entity_id 进行过滤,来确定主体进程联系的域和地址。
  • 检查 DNS 缓存是否有可疑或异常条目。
  • !{osquery{"label":"Osquery - 检索 DNS 缓存","query":"SELECT * FROM dns_cache"}}
  • 使用 Elastic Defend 注册表事件来检查进程树中相关进程访问、修改或创建的注册表项。
  • 检查主机服务是否有可疑或异常条目。
  • !{osquery{"label":"Osquery - 检索所有服务","query":"SELECT description, display_name, name, path, pid, service_type, start_type, status, user_account FROM services"}}
  • !{osquery{"label":"Osquery - 检索在用户帐户上运行的服务","query":"SELECT description, display_name, name, path, pid, service_type, start_type, status, user_account FROM services WHERE\nNOT (user_account LIKE %LocalSystem OR user_account LIKE %LocalService OR user_account LIKE %NetworkService OR\nuser_account == null)\n"}}
  • !{osquery{"label":"Osquery - 使用 Virustotal 链接检索未签名的服务可执行文件","query":"SELECT concat(https://www.virustotal.com/gui/file/, sha1) AS VtLink, name, description, start_type, status, pid,\nservices.path FROM services JOIN authenticode ON services.path = authenticode.path OR services.module_path =\nauthenticode.path JOIN hash ON services.path = hash.path WHERE authenticode.result != trusted\n"}}
  • 使用 PowerShell Get-FileHash cmdlet 检索文件的 SHA-256 哈希值,并在 VirusTotal、Hybrid-Analysis、CISCO Talos、Any.run 等资源中搜索哈希的存在和声誉。
  • 调查可能被盗用的帐户。分析师可以通过在注册表修改后搜索目标主机的登录事件(例如,4624)来完成此操作。

误报分析

  • 如果此活动在您的环境中是预期且嘈杂的,请考虑添加例外,最好是结合父进程可执行文件和命令行条件。

相关规则

  • 从异常目录执行进程 - ebfe1448-7fac-4d59-acea-181bd89b1f7f

响应和补救

  • 根据分类结果启动事件响应过程。
  • 隔离相关主机,以防止进一步的妥协后行为。
  • 如果分类确定存在恶意软件,请在环境中搜索其他被入侵的主机。
  • 实施临时的网络规则、程序和分段,以遏制恶意软件。
  • 停止可疑进程。
  • 立即阻止已识别的入侵指标 (IoC)。
  • 检查受影响的系统是否有其他恶意软件后门,如反向 shell、反向代理或 droppers,攻击者可以使用这些后门重新感染系统。
  • 删除并阻止在分类期间识别的恶意工件。
  • 运行完整的反恶意软件扫描。这可能会揭示系统中遗留的其他工件、持久性机制和恶意软件组件。
  • 确定攻击者滥用的初始向量,并采取行动以防止通过相同的向量重新感染。
  • 使用事件响应数据,更新日志记录和审核策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑
process where host.os.type == "windows" and event.type == "start" and
  process.name : ("wscript.exe",
                  "cscript.exe",
                  "rundll32.exe",
                  "regsvr32.exe",
                  "cmstp.exe",
                  "RegAsm.exe",
                  "installutil.exe",
                  "mshta.exe",
                  "RegSvcs.exe",
                  "powershell.exe",
                  "pwsh.exe",
                  "cmd.exe") and

  /* add suspicious execution paths here */
  process.args : ("C:\\PerfLogs\\*",
                  "C:\\Users\\Public\\*",
                  "C:\\Windows\\Tasks\\*",
                  "C:\\Intel\\*",
                  "C:\\AMD\\Temp\\*",
                  "C:\\Windows\\AppReadiness\\*",
                  "C:\\Windows\\ServiceState\\*",
                  "C:\\Windows\\security\\*",
                  "C:\\Windows\\IdentityCRL\\*",
                  "C:\\Windows\\Branding\\*",
                  "C:\\Windows\\csc\\*",
                  "C:\\Windows\\DigitalLocker\\*",
                  "C:\\Windows\\en-US\\*",
                  "C:\\Windows\\wlansvc\\*",
                  "C:\\Windows\\Prefetch\\*",
                  "C:\\Windows\\Fonts\\*",
                  "C:\\Windows\\diagnostics\\*",
                  "C:\\Windows\\TAPI\\*",
                  "C:\\Windows\\INF\\*",
                  "C:\\Windows\\System32\\Speech\\*",
                  "C:\\windows\\tracing\\*",
                  "c:\\windows\\IME\\*",
                  "c:\\Windows\\Performance\\*",
                  "c:\\windows\\intel\\*",
                  "c:\\windows\\ms\\*",
                  "C:\\Windows\\dot3svc\\*",
                  "C:\\Windows\\panther\\*",
                  "C:\\Windows\\RemotePackages\\*",
                  "C:\\Windows\\OCR\\*",
                  "C:\\Windows\\appcompat\\*",
                  "C:\\Windows\\apppatch\\*",
                  "C:\\Windows\\addins\\*",
                  "C:\\Windows\\Setup\\*",
                  "C:\\Windows\\Help\\*",
                  "C:\\Windows\\SKB\\*",
                  "C:\\Windows\\Vss\\*",
                  "C:\\Windows\\servicing\\*",
                  "C:\\Windows\\CbsTemp\\*",
                  "C:\\Windows\\Logs\\*",
                  "C:\\Windows\\WaaS\\*",
                  "C:\\Windows\\twain_32\\*",
                  "C:\\Windows\\ShellExperiences\\*",
                  "C:\\Windows\\ShellComponents\\*",
                  "C:\\Windows\\PLA\\*",
                  "C:\\Windows\\Migration\\*",
                  "C:\\Windows\\debug\\*",
                  "C:\\Windows\\Cursors\\*",
                  "C:\\Windows\\Containers\\*",
                  "C:\\Windows\\Boot\\*",
                  "C:\\Windows\\bcastdvr\\*",
                  "C:\\Windows\\TextInput\\*",
                  "C:\\Windows\\security\\*",
                  "C:\\Windows\\schemas\\*",
                  "C:\\Windows\\SchCache\\*",
                  "C:\\Windows\\Resources\\*",
                  "C:\\Windows\\rescache\\*",
                  "C:\\Windows\\Provisioning\\*",
                  "C:\\Windows\\PrintDialog\\*",
                  "C:\\Windows\\PolicyDefinitions\\*",
                  "C:\\Windows\\media\\*",
                  "C:\\Windows\\Globalization\\*",
                  "C:\\Windows\\L2Schemas\\*",
                  "C:\\Windows\\LiveKernelReports\\*",
                  "C:\\Windows\\ModemLogs\\*",
                  "C:\\Windows\\ImmersiveControlPanel\\*",
                  "C:\\$Recycle.Bin\\*") and

  /* noisy FP patterns */

  not process.parent.executable : ("C:\\WINDOWS\\System32\\DriverStore\\FileRepository\\*\\igfxCUIService*.exe",
                                   "C:\\Windows\\System32\\spacedeskService.exe",
                                   "C:\\Program Files\\Dell\\SupportAssistAgent\\SRE\\SRE.exe") and
  not (process.name : "rundll32.exe" and
       process.args : ("uxtheme.dll,#64",
                       "PRINTUI.DLL,PrintUIEntry",
                       "?:\\Windows\\System32\\FirewallControlPanel.dll,ShowNotificationDialog",
                       "?:\\WINDOWS\\system32\\Speech\\SpeechUX\\sapi.cpl",
                       "?:\\Windows\\system32\\shell32.dll,OpenAs_RunDLL")) and

  not (process.name : "cscript.exe" and process.args : "?:\\WINDOWS\\system32\\calluxxprovider.vbs") and

  not (process.name : "cmd.exe" and process.args : "?:\\WINDOWS\\system32\\powercfg.exe" and process.args : "?:\\WINDOWS\\inf\\PowerPlan.log") and

  not (process.name : "regsvr32.exe" and process.args : "?:\\Windows\\Help\\OEM\\scripts\\checkmui.dll") and

  not (process.name : "cmd.exe" and
       process.parent.executable : ("?:\\Windows\\System32\\oobe\\windeploy.exe",
                                    "?:\\Program Files (x86)\\ossec-agent\\wazuh-agent.exe",
                                    "?:\\Windows\\System32\\igfxCUIService.exe",
                                    "?:\\Windows\\Temp\\IE*.tmp\\IE*-support\\ienrcore.exe"))

框架: MITRE ATT&CKTM

« 伪装成内核进程的可执行文件 从具有网络连接的可移动介质执行 »