执行未签名服务

编辑

执行未签名服务编辑

此规则通过服务控制管理器 (SCM) 识别未签名可执行文件的执行情况。攻击者可能滥用 SCM 来执行恶意软件或提升权限。

规则类型: new_terms

规则索引:

logs-endpoint.events.process-*

严重性: 低

风险评分: 21

每隔: 5 分钟运行一次

从以下时间开始搜索索引: now-9m（日期数学格式，另请参见 附加回溯时间）

每次执行的最大警报数: 100

参考: 无

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：执行
策略：防御规避
规则类型：BBR
数据源：Elastic Defend

版本: 105

规则作者:

Elastic

规则许可: Elastic License v2

规则查询编辑

host.os.type:windows and event.category:process and event.type:start and
process.parent.executable:"C:\\Windows\\System32\\services.exe" and
(process.code_signature.exists:false or process.code_signature.trusted:false) and
not process.code_signature.status : (errorCode_endpoint* or "errorChaining")

框架: MITRE ATT&CK^TM

策略
- 名称：执行
- ID：TA0002
- 参考 URL：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：系统服务
- ID：T1569
- 参考 URL：https://attack.mitre.org/techniques/T1569/
子技术
- 名称：服务执行
- ID：T1569.002
- 参考 URL：https://attack.mitre.org/techniques/T1569/002/
策略
- 名称：防御规避
- ID：TA0005
- 参考 URL：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：伪装
- ID：T1036
- 参考 URL：https://attack.mitre.org/techniques/T1036/
子技术
- 名称：无效代码签名
- ID：T1036.001
- 参考 URL：https://attack.mitre.org/techniques/T1036/001/

« 执行持续可疑程序通过 Electron 子进程 Node.js 模块执行 »