PowerShell 脚本块记录已禁用

编辑

PowerShell 脚本块记录已禁用编辑

识别通过修改注册表来禁用 PowerShell 脚本块记录的尝试。攻击者可能会禁用此记录以隐藏他们在主机上的活动并逃避检测。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.registry-*
logs-windows.sysmon_operational-*
endgame-*

严重性: 中

风险评分: 47

每隔: 5 分钟运行一次

从以下时间开始搜索索引: now-9m（日期数学格式，另请参见 附加回溯时间）

每次执行的最大警报数: 100

参考:

https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.PowerShell::EnableScriptBlockLogging

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：防御规避
资源：调查指南
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：Sysmon

版本: 110

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

调查指南编辑

分类和分析

调查 PowerShell 脚本块记录已禁用

PowerShell 是系统管理员用于自动化、报告例程和其他任务的主要工具之一，使其可在各种环境中使用，并为攻击者执行代码创造了一种有吸引力的方式。

PowerShell 脚本块记录是 PowerShell 的一项功能，它记录其处理的所有脚本块的内容，使防御者能够查看 PowerShell 脚本和已执行命令的序列。

可能的调查步骤

识别执行该操作的用户帐户以及它是否应该执行此类操作。
调查未知进程的进程执行链（父进程树）。检查其可执行文件是否存在，是否位于预期位置，以及是否已使用有效的数字签名进行签名。
调查过去 48 小时内与用户/主机关联的其他警报。
检查用户使用 PowerShell 完成任务是否合理。
调查在禁用记录后是否运行了 PowerShell 脚本。

误报分析

此活动不太可能合法发生。如有必要，可以将良性真阳性 (B-TP) 添加为例外。

相关规则

PowerShell 可疑发现相关的 Windows API 函数 - 61ac3638-40a3-44b2-855a-985636ca985e
PowerShell 键盘记录脚本 - bd2c86a0-8b61-4457-ab38-96943984e889
具有音频捕获功能的可疑 PowerShell 脚本 - 2f2f4939-0b34-40c2-a0a3-844eb7889f43
通过 PowerShell 进行潜在的进程注入 - 2e29e96a-b67c-455a-afe4-de6183431d0d
通过 PowerShell 进行可疑的 .NET 反射 - e26f042e-c590-4e82-8e05-41e81bd822ad
可疑的 PowerShell 有效负载已编码并压缩 - 81fe9dc6-a2d7-4192-a2d8-eed98afc766a
具有屏幕截图功能的可疑 PowerShell 脚本 - 959a7353-1129-4aa7-9084-30746b256a70

响应和补救

根据分类结果启动事件响应流程。
隔离涉及的主机以防止进一步的妥协后行为。
查看分配给相关用户的权限，以确保遵循最小权限原则。
使用 GPO、AppLocker、Intune 或类似软件限制 IT 和工程业务部门之外的 PowerShell 使用。
运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始媒介，并采取措施防止通过同一媒介重新感染。
使用事件响应数据，更新记录和审计策略，以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询编辑

registry where host.os.type == "windows" and event.type == "change" and
    registry.path : (
        "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows\\PowerShell\\ScriptBlockLogging\\EnableScriptBlockLogging",
        "\\REGISTRY\\MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\PowerShell\\ScriptBlockLogging\\EnableScriptBlockLogging"
    ) and registry.data.strings : ("0", "0x00000000")

框架: MITRE ATT&CK^TM

策略
- 名称：防御规避
- ID：TA0005
- 参考网址：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：修改注册表
- ID：T1112
- 参考网址：https://attack.mitre.org/techniques/T1112/
技术
- 名称：损害防御
- ID：T1562
- 参考网址：https://attack.mitre.org/techniques/T1562/
子技术
- 名称：禁用 Windows 事件日志记录
- ID：T1562.002
- 参考网址：https://attack.mitre.org/techniques/T1562/002/

« PowerShell PSReflect 脚本具有存档压缩功能的 PowerShell 脚本 »