通过 PowerShell 配置文件实现持久化
编辑通过 PowerShell 配置文件实现持久化编辑
识别 PowerShell 配置文件的创建或修改。PowerShell 配置文件是在 PowerShell 启动时执行的脚本,用于自定义用户环境,攻击者可以滥用它在 PowerShell 常用的环境中实现持久化。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-endpoint.events.file-*
- logs-windows.sysmon_operational-*
- endgame-*
严重程度: 中
风险评分: 47
运行间隔: 5 分钟
搜索的索引范围: now-9m(日期数学格式,另请参阅其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 战术: 持久化
- 战术: 权限提升
- 数据源: Elastic Endgame
- 数据源: Elastic Defend
- 数据源: Sysmon
版本: 9
规则作者:
- Elastic
规则许可证: Elastic 许可证 v2
调查指南编辑
分类和分析
调查通过 PowerShell 配置文件实现的持久化
PowerShell 配置文件是在 PowerShell 启动时执行的脚本,用于自定义用户环境。它们通常在 Windows 环境中用于合法目的,例如设置变量或加载模块。但是,攻击者可以通过插入每次启动 PowerShell 时都会执行的恶意代码来滥用 PowerShell 配置文件以建立持久性。
此规则识别 PowerShell 配置文件的创建或修改。它通过监视 Windows 系统上的文件事件来实现这一点,特别是针对与配置文件相关的文件路径和名称,例如 profile.ps1 和 Microsoft.Powershell_profile.ps1。通过检测这些活动,安全分析师可以调查 PowerShell 配置文件是否存在恶意持久性滥用。
注意: 本调查指南使用 Elastic Stack 8.5.0 版中引入的Osquery Markdown 插件。较旧的 Elastic Stack 版本将在本指南中显示未渲染的 Markdown。
可能的调查步骤
- 检索并检查 PowerShell 配置文件内容;查找可疑的 DLL 导入、收集或持久化功能、可疑函数、编码或压缩数据、可疑命令以及其他潜在的恶意特征。
- 确定负责 PowerShell 配置文件创建/修改的进程。使用 Elastic Defend 事件,通过按进程的
process.entity_id进行过滤,来检查主题进程的所有活动。 - 调查在过去 48 小时内与用户/主机相关的其他警报。
- 评估用户是否需要使用 PowerShell 来完成任务。
- 检查其他 PowerShell 和命令行日志,以确定是否运行了任何可疑命令或函数。
- 检查主机是否存在指示可疑活动的衍生工件
- 观察并收集有关警报主题主机中以下活动的信息
- 尝试联系外部域和地址。
- 使用 Elastic Defend 网络事件,通过按进程的
process.entity_id进行过滤,来确定主题进程联系的域和地址。 - 检查 DNS 缓存中是否存在可疑或异常条目。
- !{osquery{"label":"Osquery - 检索 DNS 缓存","query":"SELECT * FROM dns_cache"}}
- 使用 Elastic Defend 注册表事件来检查进程树中相关进程访问、修改或创建的注册表项。
- 检查主机服务是否存在可疑或异常条目。
- !{osquery{"label":"Osquery - 检索所有服务","query":"SELECT description, display_name, name, path, pid, service_type, start_type, status, user_account FROM services"}}
- !{osquery{"label":"Osquery - 检索在用户帐户上运行的服务","query":"SELECT description, display_name, name, path, pid, service_type, start_type, status, user_account FROM services WHERE\nNOT (user_account LIKE %LocalSystem OR user_account LIKE %LocalService OR user_account LIKE %NetworkService OR\nuser_account == null)\n"}}
- !{osquery{"label":"Osquery - 使用 Virustotal 链接检索服务未签名可执行文件","query":"SELECT concat(https://www.virustotal.com/gui/file/, sha1) AS VtLink, name, description, start_type, status, pid,\nservices.path FROM services JOIN authenticode ON services.path = authenticode.path OR services.module_path =\nauthenticode.path JOIN hash ON services.path = hash.path WHERE authenticode.result != trusted\n"}}
误报分析
- 这是一种双重用途机制,意味着它的使用并非天生就是恶意的。如果脚本不包含恶意函数或滥用可能性、未识别出其他可疑活动且用户有业务理由使用 PowerShell,则分析师可以忽略该警报。
响应和修复
- 根据分类结果启动事件响应流程。
- 如果确认存在恶意活动,请进行更广泛的调查,以确定攻击范围并确定适当的修复步骤。
- 隔离相关主机,以防止进一步的攻击后行为。
- 如果分类识别出恶意软件,请在环境中搜索其他受感染主机。
- 实施临时网络规则、程序和分段以遏制恶意软件。
- 停止可疑进程。
- 立即阻止已识别的攻击指标 (IoC)。
- 检查受影响的系统是否存在其他恶意软件后门,例如反向 Shell、反向代理或攻击者可能用来再次感染系统的 Dropper。
- 删除并阻止在分类期间识别的恶意工件。
- 重新安装主机操作系统或将受感染的文件恢复到干净版本。
- 使用 GPO、AppLocker、Intune 或类似软件限制 IT 和工程业务部门以外的 PowerShell 使用。
- 调查攻击者入侵或使用的系统上的凭据泄露情况,以确保识别所有受感染的帐户。重置这些帐户和其他可能泄露的凭据(例如电子邮件、业务系统和 Web 服务)的密码。
- 运行全面反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
- 确定攻击者滥用的初始载体,并采取措施防止通过同一载体再次感染。
- 使用事件响应数据更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
- 考虑启用和收集 PowerShell 日志(例如记录、模块和脚本块日志记录),以提高 PowerShell 活动的可见性。
规则查询编辑
file where host.os.type == "windows" and event.type != "deletion" and
file.path : ("?:\\Users\\*\\Documents\\WindowsPowerShell\\*",
"?:\\Users\\*\\Documents\\PowerShell\\*",
"?:\\Windows\\System32\\WindowsPowerShell\\*") and
file.name : ("profile.ps1", "Microsoft.Powershell_profile.ps1")
框架: MITRE ATT&CKTM
-
战术
- 名称: 持久化
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称: 事件触发执行
- ID: T1546
- 参考 URL: https://attack.mitre.org/techniques/T1546/
-
子技术
- 名称: PowerShell 配置文件
- ID: T1546.013
- 参考 URL: https://attack.mitre.org/techniques/T1546/013/
-
战术
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称: 事件触发执行
- ID: T1546
- 参考 URL: https://attack.mitre.org/techniques/T1546/
-
子技术
- 名称: PowerShell 配置文件
- ID: T1546.013
- 参考 URL: https://attack.mitre.org/techniques/T1546/013/