使用 ShellBrowserWindow 或 ShellWindows 进行的传入 DCOM 横向移动

使用 ShellBrowserWindow 或 ShellWindows 进行的传入 DCOM 横向移动编辑

识别使用分布式组件对象模型 (DCOM) 从远程主机运行命令，这些命令通过 ShellBrowserWindow 或 ShellWindows 应用程序 COM 对象启动。此行为可能表明攻击者正在滥用 DCOM 应用程序进行隐秘的横向移动。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-endpoint.events.network-*
logs-windows.sysmon_operational-*

严重程度: 中

风险评分: 47

运行频率: 5 分钟

搜索索引范围: now-9m（日期数学格式，另请参阅 额外回溯时间）

每次执行的最大警报数: 100

参考:

https://enigma0x3.net/2017/01/23/lateral-movement-via-dcom-round-2/

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
策略: 横向移动
数据源: Elastic Defend
数据源: Sysmon

版本: 107

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询编辑

sequence by host.id with maxspan=5s
 [network where host.os.type == "windows" and event.type == "start" and process.name : "explorer.exe" and
  network.direction : ("incoming", "ingress") and network.transport == "tcp" and
  source.port > 49151 and destination.port > 49151 and source.ip != "127.0.0.1" and source.ip != "::1"
 ] by process.entity_id
 [process where host.os.type == "windows" and event.type == "start" and
  process.parent.name : "explorer.exe"
 ] by process.parent.entity_id

框架: MITRE ATT&CK^TM

策略
- 名称: 横向移动
- ID: TA0008
- 参考 URL: https://attack.mitre.org/tactics/TA0008/
技术
- 名称: 远程服务
- ID: T1021
- 参考 URL: https://attack.mitre.org/techniques/T1021/
子技术
- 名称: 分布式组件对象模型
- ID: T1021.003
- 参考 URL: https://attack.mitre.org/techniques/T1021/003/

« 使用 MMC 进行的传入 DCOM 横向移动通过 PowerShell 远程处理进行的传入执行 »