› › ›

加载了无效签名的镜像

编辑

加载了无效签名的镜像编辑

识别加载的代码签名无效的二进制文件。这可能表明试图伪装成已签名的二进制文件。

规则类型：eql

规则索引:

logs-endpoint.events.library-*

严重程度：低

风险评分: 21

运行频率：60 分钟

搜索的索引时间范围：now-119m（日期数学格式，另请参阅额外的回溯时间）

每次执行的最大警报数: 100

参考：无

标签:

域：终端
操作系统：Windows
用例：威胁检测
战术：防御规避
规则类型：BBR
数据源：Elastic Defend

版本: 2

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

规则查询编辑

library where host.os.type == "windows" and event.action == "load" and
  dll.code_signature.status : ("errorUntrustedRoot", "errorBadDigest", "errorUntrustedRoot") and
  (dll.Ext.relative_file_creation_time <= 500 or dll.Ext.relative_file_name_modify_time <= 500) and
  not startswith~(dll.name, process.name) and
  not dll.path : (
    "?:\\Windows\\System32\\DriverStore\\FileRepository\\*"
  )

框架：MITRE ATT&CK^TM

战术
- 名称：防御规避
- ID：TA0005
- 参考链接：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：伪装
- ID：T1036
- 参考链接：https://attack.mitre.org/techniques/T1036/
子技术
- 名称：无效代码签名
- ID：T1036.001
- 参考链接：https://attack.mitre.org/techniques/T1036/001/

« 镜像文件执行选项注入通过 Windows 更新自动更新客户端加载镜像 »