潜在的 DLL 旁加载通过 Microsoft 反恶意软件服务可执行文件

编辑

潜在的 DLL 旁加载通过 Microsoft 反恶意软件服务可执行文件编辑

识别已知容易受到 DLL 搜索顺序劫持的 Windows 受信任程序，从重命名后或从非标准路径开始。这是不常见的行为，可能表明试图通过在其中一个进程的内存空间中旁加载恶意 DLL 来逃避防御。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-windows.sysmon_operational-*
endgame-*

严重性: 高

风险评分: 73

每隔: 5 分钟运行

从以下时间开始搜索索引: now-9m (日期数学格式，另请参阅 其他回溯时间)

每次执行的最大警报数: 100

参考:

https://news.sophos.com/en-us/2021/07/04/independence-day-revil-uses-supply-chain-exploit-to-attack-hundreds-of-businesses/

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：防御规避
数据源：Elastic Endgame
策略：执行
数据源：Elastic Defend
数据源：Sysmon

版本: 110

规则作者:

Elastic
Dennis Perto

规则许可: Elastic 许可证 v2

设置编辑

设置

如果在非 elastic-agent 索引（例如 beats）上启用 EQL 规则，对于版本 <8.2，事件将不会定义 event.ingested，并且直到版本 8.2 才添加 EQL 规则的默认后备。因此，为了让此规则有效工作，用户需要添加一个自定义摄取管道来填充 event.ingested 到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

process where host.os.type == "windows" and event.type == "start" and
(
  (process.pe.original_file_name == "MsMpEng.exe" and not process.name : "MsMpEng.exe") or
  (process.name : "MsMpEng.exe" and not
        process.executable : ("?:\\ProgramData\\Microsoft\\Windows Defender\\*.exe",
                              "?:\\Program Files\\Windows Defender\\*.exe",
                              "?:\\Program Files (x86)\\Windows Defender\\*.exe",
                              "?:\\Program Files\\Microsoft Security Client\\*.exe",
                              "?:\\Program Files (x86)\\Microsoft Security Client\\*.exe"))
)

框架: MITRE ATT&CK^TM

策略
- 名称: 防御规避
- ID: TA0005
- 参考网址: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 劫持执行流
- ID: T1574
- 参考网址: https://attack.mitre.org/techniques/T1574/
子技术
- 名称: DLL 旁加载
- ID: T1574.002
- 参考网址: https://attack.mitre.org/techniques/T1574/002/

« 潜在的 DGA 活动潜在的 DLL 旁加载通过受信任的 Microsoft 程序 »