潜在的 PowerShell Pass-the-Hash/Relay 脚本

编辑

潜在的 PowerShell Pass-the-Hash/Relay 脚本编辑

检测可执行 pass-the-hash (PtH) 攻击、拦截和中继 NTLM 质询以及执行其他中间人 (MitM) 攻击的 PowerShell 脚本。

规则类型：查询

规则索引:

winlogbeat-*
logs-windows.powershell*

严重性：中等

风险评分: 47

每隔：5m

搜索索引从：now-9m（日期数学格式，另请参见 其他回溯时间）

每次执行的最大警报数: 100

参考:

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：凭据访问
资源：调查指南
数据源：PowerShell 日志

版本: 1

规则作者:

Elastic

规则许可：Elastic 许可证 v2

设置编辑

设置

必须启用PowerShell 脚本块记录记录策略。使用高级审核配置实施记录策略的步骤

Computer Configuration >
Administrative Templates >
Windows PowerShell >
Turn on PowerShell Script Block Logging (Enable)

通过注册表实施记录策略的步骤

reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

规则查询编辑

event.category:process and host.os.type:windows and
  powershell.file.script_block_text : (
    ("NTLMSSPNegotiate" and ("NegotiateSMB" or "NegotiateSMB2")) or
    "4E544C4D53535000" or
    "0x4e,0x54,0x4c,0x4d,0x53,0x53,0x50" or
    "0x4e,0x54,0x20,0x4c,0x4d" or
    "0x53,0x4d,0x42,0x20,0x32" or
    "0x81,0xbb,0x7a,0x36,0x44,0x98,0xf1,0x35,0xad,0x32,0x98,0xf0,0x38"
  )

框架: MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：中间人攻击
- ID：T1557
- 参考网址：https://attack.mitre.org/techniques/T1557/
策略
- 名称：执行
- ID：TA0002
- 参考网址：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：命令和脚本解释器
- ID：T1059
- 参考网址：https://attack.mitre.org/techniques/T1059/
子技术
- 名称：PowerShell
- ID：T1059.001
- 参考网址：https://attack.mitre.org/techniques/T1059/001/
策略
- 名称：横向移动
- ID：TA0008
- 参考网址：https://attack.mitre.org/tactics/TA0008/
技术
- 名称：使用备用身份验证材料
- ID：T1550
- 参考网址：https://attack.mitre.org/techniques/T1550/
子技术
- 名称：传递哈希值
- ID：T1550.002
- 参考网址：https://attack.mitre.org/techniques/T1550/002/

« 潜在的 PowerShell 混淆脚本潜在的隐私控制绕过通过本地主机安全复制 »