具有加密/解密功能的 PowerShell 脚本
编辑具有加密/解密功能的 PowerShell 脚本编辑
识别 PowerShell 脚本中与文件加密/解密相关的 Cmdlet 和方法的使用,恶意软件和攻击性安全工具可能会滥用这些方法来加密数据或解密有效负载以绕过安全解决方案。
规则类型:查询
规则索引:
- winlogbeat-*
- logs-windows.powershell*
严重性:中等
风险评分: 47
每隔:5 分钟运行一次
从以下时间开始搜索索引:now-9m(日期数学格式,另请参阅 附加回溯时间
)
每次执行的最大警报数: 100
参考:无
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 策略:防御规避
- 数据源:PowerShell 日志
- 资源:调查指南
版本: 6
规则作者:
- Elastic
规则许可证:Elastic License v2
调查指南编辑
分类和分析
调查具有加密/解密功能的 PowerShell 脚本
PowerShell 是系统管理员用于自动化、报告例程和其他任务的主要工具之一,使其可在各种环境中使用,为攻击者执行代码创造了一种有吸引力的方式。
PowerShell 提供了加密和解密功能,攻击者可以滥用这些功能来实现各种目的,例如隐藏有效负载、C2 通信以及作为勒索软件操作的一部分对数据进行加密。
可能的调查步骤
- 检查触发检测的脚本内容;查找可疑的 DLL 导入、收集或渗透功能、可疑函数、编码或压缩数据以及其他潜在的恶意特征。
- 调查脚本执行链(父进程树)以查找未知进程。检查其可执行文件以了解其流行程度、是否位于预期位置以及是否使用有效的数字签名进行签名。
- 检查涉及的 PowerShell 进程的文件或网络事件以了解可疑行为。
- 调查过去 48 小时内与用户/主机关联的其他警报。
- 评估用户是否需要使用 PowerShell 来完成任务。
误报分析
- 这是一个双重用途机制,这意味着其用法本质上并非恶意。如果脚本不包含恶意函数或滥用潜力,并且未发现其他可疑活动,并且有执行理由,则分析师可以忽略该警报。
响应和补救
- 根据分类结果启动事件响应流程。
- 隔离涉及的主机以防止进一步的危害行为。
- 使用 GPO、AppLocker、Intune 或类似软件限制 IT 和工程业务部门之外的 PowerShell 使用。
- 调查攻击者危害或使用的系统上的凭据泄露,以确保识别出所有受危害的帐户。重置这些帐户和其他可能受危害的凭据的密码,例如电子邮件、业务系统和网络服务。
- 运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
- 确定攻击者滥用的初始媒介,并采取措施防止通过同一媒介重新感染。
- 使用事件响应数据更新日志记录和审计策略,以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
规则查询编辑
event.category:process and host.os.type:windows and powershell.file.script_block_text : ( ( "Cryptography.AESManaged" or "Cryptography.RijndaelManaged" or "Cryptography.SHA1Managed" or "Cryptography.SHA256Managed" or "Cryptography.SHA384Managed" or "Cryptography.SHA512Managed" or "Cryptography.SymmetricAlgorithm" or "PasswordDeriveBytes" or "Rfc2898DeriveBytes" ) and ( CipherMode and PaddingMode ) and ( ".CreateEncryptor" or ".CreateDecryptor" ) ) and not user.id : "S-1-5-18"
框架: MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID:TA0005
- 参考 URL:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:混淆的文件或信息
- ID:T1027
- 参考 URL:https://attack.mitre.org/techniques/T1027/
-
技术
- 名称:对文件或信息进行反混淆/解码
- ID:T1140
- 参考 URL:https://attack.mitre.org/techniques/T1140/