引导配置的修改
编辑引导配置的修改编辑
识别使用 bcdedit.exe 删除引导配置数据的行为。这种策略有时会被恶意软件或攻击者用作破坏性技术。
规则类型:eql
规则索引:
- winlogbeat-*
- logs-endpoint.events.process-*
- logs-windows.*
- endgame-*
- logs-system.security*
严重性:低
风险评分: 21
运行频率:5分钟
搜索的索引范围:now-9m(日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考:无
标签:
- 域:终端
- 操作系统:Windows
- 用例:威胁检测
- 策略:影响
- 资源:调查指南
- 数据源:Elastic Endgame
- 数据源:Elastic Defend
版本: 109
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
分类和分析
调查引导配置的修改
引导条目参数或引导参数是可选的、系统特定的设置,表示配置选项。它们存储在引导配置数据 (BCD) 存储中,管理员可以使用 bcdedit.exe 等实用程序对其进行配置。
此规则识别使用 bcdedit.exe 进行以下操作的行为:
- 禁用 Windows 错误恢复 (recoveryenabled)。
- 如果引导失败、关机失败或检查点失败,则忽略错误 (bootstatuspolicy ignoreallfailures)。
这些是攻击者利用勒索软件进行破坏性攻击的常见步骤。
可能的调查步骤
- 调查未知进程的脚本执行链(父进程树)。检查其可执行文件的流行程度、是否位于预期位置,以及是否使用有效的数字签名进行签名。
- 确定执行操作的用户帐户,以及该帐户是否应执行此类操作。
- 联系帐户所有者,确认他们是否知道此活动。
- 调查过去 48 小时内与该用户/主机相关的其他警报。
- 通过查找跨主机的类似事件来评估此行为在环境中是否普遍存在。
- 检查主机上的任何文件是否已加密。
误报分析
- 使用这些选项并非天生就是恶意的。管理员可以修改这些配置以强制计算机启动以进行故障排除或数据恢复。
相关规则
- 使用 Wbadmin 删除备份目录 - 581add16-df76-42bb-af8e-c979bfb39a59
响应和修复
- 根据分类结果启动事件响应流程。
- 考虑隔离受影响的主机以防止破坏性行为,这通常与此活动相关联。
- 调查攻击者入侵或使用的系统上的凭据泄露,以确保识别所有受损帐户。重置这些帐户和其他可能受损凭据的密码,例如电子邮件、业务系统和 Web 服务。
- 如果在主机上识别出任何其他破坏性操作,建议优先进行调查并查找勒索软件准备和执行活动。
- 确定攻击者滥用的初始攻击向量,并采取措施防止通过同一向量再次感染。
- 使用事件响应数据更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置编辑
设置
如果在非 Elastic 代理索引(例如 Beats)上为 8.2 之前的版本启用 EQL 规则,则事件不会定义 event.ingested,并且在 8.2 版本之前不会添加 EQL 规则的默认回退。因此,为了使此规则有效工作,用户需要添加自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息,请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html
规则查询编辑
process where host.os.type == "windows" and event.type == "start" and
(process.name : "bcdedit.exe" or ?process.pe.original_file_name == "bcdedit.exe") and
(
(process.args : "/set" and process.args : "bootstatuspolicy" and process.args : "ignoreallfailures") or
(process.args : "no" and process.args : "recoveryenabled")
)
框架:MITRE ATT&CKTM
-
策略
- 名称:影响
- ID:TA0040
- 参考 URL:https://attack.mitre.org/tactics/TA0040/
-
技术
- 名称:阻止系统恢复
- ID:T1490
- 参考 URL:https://attack.mitre.org/techniques/T1490/