检测到通过隐藏运行键实现的持久性

编辑

检测到通过隐藏运行键实现的持久性编辑

识别利用 NtSetValueKey 本机 API 创建隐藏（空终止）注册表项的持久性机制。攻击者可以使用此方法躲避系统实用程序（例如注册表编辑器 (regedit)）的检测。

规则类型: eql

规则索引:

logs-endpoint.events.registry-*
winlogbeat-*
logs-windows.sysmon_operational-*
endgame-*

严重程度: 高

风险评分: 73

运行频率: 5 分钟

搜索的索引时间范围: now-9m（日期数学格式，另请参阅额外回溯时间）

每次执行的最大警报数: 100

参考:

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 持久性
战术: 防御规避
战术: 执行
数据源: Elastic Endgame
数据源: Elastic Defend
数据源: Sysmon

版本: 108

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

设置编辑

设置

如果在非 elastic-agent 索引（例如 beats）上为版本 <8.2 启用 EQL 规则，则事件不会定义 event.ingested，并且在版本 8.2 之前没有添加 EQL 规则的默认回退。因此，为了使此规则有效工作，用户需要添加自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

/* Registry Path ends with backslash */
registry where host.os.type == "windows" and /* length(registry.data.strings) > 0 and */
 registry.path : ("HKEY_USERS\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\",
                  "HKU\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\",
                  "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\",
                  "HKLM\\Software\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Run\\",
                  "HKEY_USERS\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\",
                  "HKU\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\",
                  "\\REGISTRY\\MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\",
                  "\\REGISTRY\\USER\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\",
                  "\\REGISTRY\\MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\",
                  "\\REGISTRY\\MACHINE\\Software\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Run\\",
                  "\\REGISTRY\\USER\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\",
                  "\\REGISTRY\\MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\")

框架: MITRE ATT&CK^TM

战术
- 名称: 持久性
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称: 启动或登录自动启动执行
- ID: T1547
- 参考 URL: https://attack.mitre.org/techniques/T1547/
子技术
- 名称: 注册表运行键/启动文件夹
- ID: T1547.001
- 参考 URL: https://attack.mitre.org/techniques/T1547/001/
战术
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 本机 API
- ID: T1106
- 参考 URL: https://attack.mitre.org/techniques/T1106/
战术
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 修改注册表
- ID: T1112
- 参考 URL: https://attack.mitre.org/techniques/T1112/

« 通过文件夹操作脚本实现持久性通过 KDE 自动启动脚本或桌面文件修改实现持久性 »