« 通过 MSSQL xp_cmdshell 存储过程执行通过 TSClient 挂载点执行 »

› › ›

通过 Microsoft DotNet ClickOnce 主机执行

编辑

通过 Microsoft DotNet ClickOnce 主机执行

编辑

识别通过 Dfsvc.exe trampoline 执行的 DotNet ClickOnce 安装程序。攻击者可能会利用 ClickOnce 通过受信任的 Microsoft 进程来代理执行恶意负载。

规则类型: eql

规则索引:

logs-endpoint.events.*

严重性: 低

风险评分: 21

运行频率: 60 分钟

搜索索引起始于: now-119m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

域: 端点
操作系统: Windows
使用案例: 威胁检测
战术: 防御规避
规则类型: BBR
数据源: Elastic Defend

版本: 1

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

sequence by user.id with maxspan=5s
 [process where host.os.type == "windows" and event.action == "start" and
  process.name : "rundll32.exe" and process.command_line : ("*dfshim*ShOpenVerbApplication*", "*dfshim*#*")]
 [network where host.os.type == "windows" and process.name : "dfsvc.exe"]

框架: MITRE ATT&CK^TM

战术
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 受信任的开发人员实用程序代理执行
- ID: T1127
- 参考 URL: https://attack.mitre.org/techniques/T1127/
技术
- 名称: 系统二进制代理执行
- ID: T1218
- 参考 URL: https://attack.mitre.org/techniques/T1218/
子技术
- 名称: Rundll32
- ID: T1218.011
- 参考 URL: https://attack.mitre.org/techniques/T1218/011/

« 通过 MSSQL xp_cmdshell 存储过程执行通过 TSClient 挂载点执行 »

Was this helpful?

Feedback

The Search AI Company

ELK Stack

Elastic Cloud

Generative AI

Search

Security

Observability

By solution

Industries

Customer spotlight

Research

Build

Learn

Connect

通过 Microsoft DotNet ClickOnce 主机执行

通过 Microsoft DotNet ClickOnce 主机执行

规则查询

Follow us

About us

Join us

Partners

Trust & Security

Investor relations

Excellence Awards

About us

Join us

Partners

Trust & Security

Investor relations

Excellence Awards