通过本地 SxS 共享模块执行

编辑

通过本地 SxS 共享模块执行编辑

识别 Windows SxS 本地文件夹中 DLL 模块的创建、更改或删除。攻击者可能会滥用共享模块，通过指示 Windows 模块加载程序从任意本地路径加载 DLL 来执行恶意负载。

规则类型：eql

规则索引:

winlogbeat-*
logs-endpoint.events.file-*
logs-windows.sysmon_operational-*
endgame-*

严重程度：中等

风险评分: 47

运行频率：5 分钟

搜索索引的时间范围：now-9m（日期数学格式，另请参阅 额外回溯时间）

每次执行的最大警报数: 100

参考:

https://docs.microsoft.com/en-us/windows/win32/dlls/dynamic-link-library-redirection

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：执行
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：Sysmon

版本: 108

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

分类和分析

SxS DotLocal 文件夹是一个合法功能，但可能会被滥用于劫持标准模块加载顺序，方法是强制同一 application.exe.local 文件夹中的可执行文件从同一目录加载恶意 DLL 模块。

设置编辑

设置

如果在非 elastic-agent 索引（例如 beats）上启用 EQL 规则，对于版本 <8.2，事件将不会定义 event.ingested，并且在版本 8.2 之前没有添加 EQL 规则的默认回退。因此，为了使此规则有效地工作，用户需要添加自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

file where host.os.type == "windows" and file.extension : "dll" and file.path : "C:\\*\\*.exe.local\\*.dll"

框架：MITRE ATT&CK^TM

策略
- 名称：执行
- ID：TA0002
- 参考 URL：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：共享模块
- ID：T1129
- 参考 URL：https://attack.mitre.org/techniques/T1129/

« 通过适用于 Linux 的 Windows 子系统执行通过脚本使用显式凭据执行 »