› › ›

通过适用于 Linux 的 Windows 子系统更改主机文件系统

编辑

通过适用于 Linux 的 Windows 子系统更改主机文件系统编辑

检测从适用于 Linux 的 Windows 子系统对主机系统上的文件创建和修改。攻击者可能会启用并使用适用于 Linux 的 WSL 来逃避检测。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-endpoint.events.file-*
logs-windows.sysmon_operational-*

严重程度: 中

风险评分: 47

运行频率: 5 分钟

搜索的索引范围: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考资料:

https://github.com/microsoft/WSL

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
策略: 防御规避
数据源: Elastic Endgame
数据源: Elastic Defend
数据源: Sysmon

版本: 7

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询编辑

sequence by process.entity_id with maxspan=5m
 [process where host.os.type == "windows" and event.type == "start" and
  process.name : "dllhost.exe" and
   /* Plan9FileSystem CLSID - WSL Host File System Worker */
  process.command_line : "*{DFB65C4C-B34F-435D-AFE9-A86218684AA8}*"]
 [file where host.os.type == "windows" and process.name : "dllhost.exe" and not file.path : "?:\\Users\\*\\Downloads\\*"]

框架: MITRE ATT&CK^TM

策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 间接命令执行
- ID: T1202
- 参考 URL: https://attack.mitre.org/techniques/T1202/

« RDP 会话持续时间差异大主机文件已修改 »