« 首次发现 AWS 密钥管理器中的密钥值被访问 首次发现加载驱动程序 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

首次发现执行常用被滥用的远程访问工具

编辑

首次发现执行常用被滥用的远程访问工具编辑

攻击者可能会将合法的远程访问工具 (RAT) 安装到受损端点以进行进一步的命令和控制 (C2)。攻击者可以依赖已安装的 RAT 来实现持久性、执行本机命令等。当启动名称或代码签名类似于常用被滥用 RAT 的进程时,此规则会检测到。这是一种“新术语”规则类型,表示主机在过去 30 天内未见过此 RAT 进程启动。

规则类型:new_terms

规则索引:

  • logs-endpoint.events.process-*
  • endgame-*
  • winlogbeat-*
  • logs-windows.*
  • logs-system.security*

严重性:中等

风险评分: 47

运行频率:5 分钟

搜索的索引范围:now-9m(日期数学格式,另请参阅其他回溯时间

每次执行的最大警报数: 100

参考资料:

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 战术:命令和控制
  • 资源:调查指南
  • 数据源:Elastic Defend
  • 数据源:Elastic Endgame

版本: 5

规则作者:

  • Elastic

规则许可证:Elastic 许可证 v2

调查指南编辑

分类和分析

调查首次发现执行常用被滥用的远程访问工具

远程访问软件是 IT 部门常用的一类工具,用于通过安全连接到用户计算机来提供支持。远程访问是一个不断增长的市场,新公司不断提供快速访问远程系统的新方法。

与 IT 部门采用这些工具的速度一样快,攻击者也将它们作为其工作流程的一部分,以连接到交互式会话、使用合法软件作为持久性机制来维持访问、投放恶意软件等。

此规则检测到在过去 15 天内环境中首次出现远程访问工具,使分析师能够调查和强制正确使用此类工具。

可能的调查步骤

  • 调查未知进程的进程执行链(父进程树)。检查其可执行文件的流行程度、它们是否位于预期位置以及它们是否使用有效的数字签名进行签名。
  • 检查远程访问工具的执行是否得到组织 IT 部门的批准。
  • 调查过去 48 小时内与用户/主机相关的其他警报。
  • 联系帐户所有者并确认他们是否知道此活动。
  • 如果该工具未经批准在组织中使用,则该员工可能被骗安装该工具并向恶意第三方提供访问权限。调查此第三方是否可能试图欺骗最终用户或通过社会工程获得对环境的访问权限。
  • 调查主题进程的任何异常行为,例如网络连接、注册表或文件修改,以及任何生成的子进程。

误报分析

  • 如果授权的支持人员或管理员使用该工具进行合法支持或远程访问,请考虑加强只应使用 IT 策略批准的工具。如果未观察到涉及主机或用户的其他可疑行为,则分析师可以忽略该警报。

响应和修复

  • 根据分类结果启动事件响应流程。
  • 隔离相关主机以防止进一步的攻击后行为。
  • 使用适当的反恶意软件工具运行全面扫描。此扫描可以揭示系统中留下的其他工件、持久性机制和恶意软件组件。
  • 调查攻击者入侵或使用的系统上的凭据泄露,以确保识别所有受损帐户。重置这些帐户和其他可能泄露的凭据(例如电子邮件、业务系统和 Web 服务)的密码。
  • 如果未经授权的第三方通过社会工程进行了访问,请考虑改进安全意识计划。
  • 强制执行只有经 IT 策略批准的工具才应用于远程访问目的,并且只能由授权人员使用。
  • 使用事件响应数据更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询编辑

host.os.type: "windows" and

   event.category: "process" and event.type : "start" and

    (
        process.code_signature.subject_name : (
            "Action1 Corporation" or
            "AeroAdmin LLC" or
            "Ammyy LLC" or
            "Atera Networks Ltd" or
            "AWERAY PTE. LTD." or
            "BeamYourScreen GmbH" or
            "Bomgar Corporation" or
            "DUC FABULOUS CO.,LTD" or
            "DOMOTZ INC." or
            "DWSNET OÜ" or
            "FleetDeck Inc" or
            "GlavSoft LLC" or
            "GlavSoft LLC." or
            "Hefei Pingbo Network Technology Co. Ltd" or
            "IDrive, Inc." or
            "IMPERO SOLUTIONS LIMITED" or
            "Instant Housecall" or
            "ISL Online Ltd." or
            "LogMeIn, Inc." or
            "Monitoring Client" or
            "MMSOFT Design Ltd." or
            "Nanosystems S.r.l." or
            "NetSupport Ltd" or
            "NinjaRMM, LLC" or
            "Parallels International GmbH" or
            "philandro Software GmbH" or
            "Pro Softnet Corporation" or
            "RealVNC" or
            "RealVNC Limited" or
            "BreakingSecurity.net" or
            "Remote Utilities LLC" or
            "Rocket Software, Inc." or
            "SAFIB" or
            "Servably, Inc." or
            "ShowMyPC INC" or
            "Splashtop Inc." or
            "Superops Inc." or
            "TeamViewer" or
            "TeamViewer GmbH" or
            "TeamViewer Germany GmbH" or
            "Techinline Limited" or
            "uvnc bvba" or
            "Yakhnovets Denis Aleksandrovich IP" or
            "Zhou Huabing"
        ) or

        process.name.caseless : (
            AA_v*.exe or
            "AeroAdmin.exe" or
            "AnyDesk.exe" or
            "apc_Admin.exe" or
            "apc_host.exe" or
            "AteraAgent.exe" or
            aweray_remote*.exe or
            "AweSun.exe" or
            "B4-Service.exe" or
            "BASupSrvc.exe" or
            "bomgar-scc.exe" or
            "domotzagent.exe" or
            "domotz-windows-x64-10.exe" or
            "dwagsvc.exe" or
            "DWRCC.exe" or
            "ImperoClientSVC.exe" or
            "ImperoServerSVC.exe" or
            "ISLLight.exe" or
            "ISLLightClient.exe" or
            fleetdeck_commander*.exe or
            "getscreen.exe" or
            "LMIIgnition.exe" or
            "LogMeIn.exe" or
            "ManageEngine_Remote_Access_Plus.exe" or
            "Mikogo-Service.exe" or
            "NinjaRMMAgent.exe" or
            "NinjaRMMAgenPatcher.exe" or
            "ninjarmm-cli.exe" or
            "r_server.exe" or
            "radmin.exe" or
            "radmin3.exe" or
            "RCClient.exe" or
            "RCService.exe" or
            "RemoteDesktopManager.exe" or
            "RemotePC.exe" or
            "RemotePCDesktop.exe" or
            "RemotePCService.exe" or
            "rfusclient.exe" or
            "ROMServer.exe" or
            "ROMViewer.exe" or
            "RPCSuite.exe" or
            "rserver3.exe" or
            "rustdesk.exe" or
            "rutserv.exe" or
            "rutview.exe" or
            "saazapsc.exe" or
            ScreenConnect*.exe or
            "smpcview.exe" or
            "spclink.exe" or
            "Splashtop-streamer.exe" or
            "SRService.exe" or
            "strwinclt.exe" or
            "Supremo.exe" or
            "SupremoService.exe" or
            "teamviewer.exe" or
            "TiClientCore.exe" or
            "TSClient.exe" or
            "tvn.exe" or
            "tvnserver.exe" or
            "tvnviewer.exe" or
            UltraVNC*.exe or
            UltraViewer*.exe or
            "vncserver.exe" or
            "vncviewer.exe" or
            "winvnc.exe" or
            "winwvc.exe" or
            "Zaservice.exe" or
            "ZohoURS.exe"
        ) or
        process.name : (
            AA_v*.exe or
            "AeroAdmin.exe" or
            "AnyDesk.exe" or
            "apc_Admin.exe" or
            "apc_host.exe" or
            "AteraAgent.exe" or
            aweray_remote*.exe or
            "AweSun.exe" or
            "B4-Service.exe" or
            "BASupSrvc.exe" or
            "bomgar-scc.exe" or
            "domotzagent.exe" or
            "domotz-windows-x64-10.exe" or
            "dwagsvc.exe" or
            "DWRCC.exe" or
            "ImperoClientSVC.exe" or
            "ImperoServerSVC.exe" or
            "ISLLight.exe" or
            "ISLLightClient.exe" or
            fleetdeck_commander*.exe or
            "getscreen.exe" or
            "LMIIgnition.exe" or
            "LogMeIn.exe" or
            "ManageEngine_Remote_Access_Plus.exe" or
            "Mikogo-Service.exe" or
            "NinjaRMMAgent.exe" or
            "NinjaRMMAgenPatcher.exe" or
            "ninjarmm-cli.exe" or
            "r_server.exe" or
            "radmin.exe" or
            "radmin3.exe" or
            "RCClient.exe" or
            "RCService.exe" or
            "RemoteDesktopManager.exe" or
            "RemotePC.exe" or
            "RemotePCDesktop.exe" or
            "RemotePCService.exe" or
            "rfusclient.exe" or
            "ROMServer.exe" or
            "ROMViewer.exe" or
            "RPCSuite.exe" or
            "rserver3.exe" or
            "rustdesk.exe" or
            "rutserv.exe" or
            "rutview.exe" or
            "saazapsc.exe" or
            ScreenConnect*.exe or
            "smpcview.exe" or
            "spclink.exe" or
            "Splashtop-streamer.exe" or
            "SRService.exe" or
            "strwinclt.exe" or
            "Supremo.exe" or
            "SupremoService.exe" or
            "teamviewer.exe" or
            "TiClientCore.exe" or
            "TSClient.exe" or
            "tvn.exe" or
            "tvnserver.exe" or
            "tvnviewer.exe" or
            UltraVNC*.exe or
            UltraViewer*.exe or
            "vncserver.exe" or
            "vncviewer.exe" or
            "winvnc.exe" or
            "winwvc.exe" or
            "Zaservice.exe" or
            "ZohoURS.exe"
        )
	) and

	not (process.pe.original_file_name : ("G2M.exe" or "Updater.exe" or "powershell.exe") and process.code_signature.subject_name : "LogMeIn, Inc.")

框架:MITRE ATT&CKTM

« 首次发现 AWS 密钥管理器中的密钥值被访问 首次发现加载驱动程序 »