通过易受攻击的 MSI 修复进行潜在提权

编辑

通过易受攻击的 MSI 修复进行潜在提权

编辑

识别浏览器进程导航到 Microsoft 帮助页面，随后产生提升权限进程的情况。这可能表明已成功利用易受攻击的 Windows Installer 修复程序来提权。

规则类型: eql

规则索引:

winlogbeat-*
endgame-*
logs-endpoint.events.process-*
logs-windows.sysmon_operational-*
logs-sentinel_one_cloud_funnel.*
logs-m365_defender.event-*

严重性: 高

风险评分: 73

运行频率: 5m

搜索索引时间范围: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 权限提升
数据源: Elastic Endgame
数据源: Elastic Defend
数据源: Sysmon
数据源: SentinelOne
数据源: Microsoft Defender for Endpoint

版本: 202

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where event.type == "start" and host.os.type == "windows" and
 user.domain : ("NT AUTHORITY", "AUTORITE NT", "AUTORIDADE NT") and
 process.parent.name : ("chrome.exe", "msedge.exe", "brave.exe", "whale.exe", "browser.exe", "dragon.exe", "vivaldi.exe",
                        "opera.exe", "iexplore", "firefox.exe", "waterfox.exe", "iexplore.exe", "tor.exe", "safari.exe") and
 process.parent.command_line : "*go.microsoft.com*"

框架: MITRE ATT&CK^TM

战术
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
技术
- 名称: 利用漏洞进行权限提升
- ID: T1068
- 参考 URL: https://attack.mitre.org/techniques/T1068/
战术
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 系统二进制代理执行
- ID: T1218
- 参考 URL: https://attack.mitre.org/techniques/T1218/
子技术
- 名称: Msiexec
- ID: T1218.007
- 参考 URL: https://attack.mitre.org/techniques/T1218/007/

« 通过 Active Directory Web 服务进行潜在枚举通过过滤器管理器进行潜在规避 »