具有 Veeam 凭据访问功能的 PowerShell 脚本

编辑

具有 Veeam 凭据访问功能的 PowerShell 脚本编辑

识别可以访问和解密存储在 MSSQL 数据库中的 Veeam 凭据的 PowerShell 脚本。攻击者可以使用 Veeam 凭据针对备份，作为破坏性操作（例如勒索软件攻击）的一部分。

规则类型：查询

规则索引:

winlogbeat-*
logs-windows.powershell*

严重性：中等

风险评分: 47

每隔：5 分钟运行一次

从以下时间开始搜索索引：now-9m（日期数学格式，另请参见 其他回溯时间）

每次执行的最大警报数: 100

参考:

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：凭据访问
数据源：PowerShell 日志

版本: 1

规则作者:

Elastic

规则许可：Elastic 许可证 v2

设置编辑

设置

必须启用PowerShell 脚本块记录记录策略。使用高级审核配置实施记录策略的步骤

Computer Configuration >
Administrative Templates >
Windows PowerShell >
Turn on PowerShell Script Block Logging (Enable)

通过注册表实施记录策略的步骤

reg add "hklm\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

规则查询编辑

event.category:process and host.os.type:windows and
  powershell.file.script_block_text : (
    (
      "[dbo].[Credentials]" and
      ("Veeam" or "VeeamBackup")
    ) or
    "ProtectedStorage]::GetLocalString"
  )

框架: MITRE ATT&CK^TM

策略
- 名称：凭证访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：操作系统凭证转储
- ID：T1003
- 参考网址：https://attack.mitre.org/techniques/T1003/
技术
- 名称：来自密码存储的凭证
- ID：T1555
- 参考网址：https://attack.mitre.org/techniques/T1555/
策略
- 名称：执行
- ID：TA0002
- 参考网址：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：命令和脚本解释器
- ID：T1059
- 参考网址：https://attack.mitre.org/techniques/T1059/
子技术
- 名称：PowerShell
- ID：T1059.001
- 参考网址：https://attack.mitre.org/techniques/T1059/001/

« 具有令牌模拟功能的 PowerShell 脚本具有网络摄像头视频捕获功能的 PowerShell 脚本 »