› › ›

PsExec 网络连接

编辑

PsExec 网络连接

编辑

识别 SysInternals 工具 PsExec.exe 建立网络连接的使用情况。这可能表明存在横向移动。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-endpoint.events.network-*
logs-windows.sysmon_operational-*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引起始时间: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 执行
战术: 横向移动
资源: 调查指南
数据源: Elastic Defend
数据源: Sysmon

版本: 209

规则作者:

Elastic

规则许可: Elastic License v2

调查指南

编辑

分类和分析

调查 PsExec 网络连接

PsExec 是一种远程管理工具，可以在 Windows 系统上以普通和 SYSTEM 权限执行命令。Microsoft 将其开发为 Sysinternals 套件的一部分。尽管管理员通常使用 PsExec，但攻击者也经常使用它来启用横向移动并以 SYSTEM 身份执行命令以禁用防御和绕过安全保护。

此规则通过查找 PsExec.exe (该实用程序的默认名称) 的创建，然后该进程建立的网络连接来识别 PsExec 的执行。

可能的调查步骤

检查此工具的使用是否符合组织的管理策略。
调查未知进程的进程执行链（父进程树）。检查它们的可执行文件是否普遍存在，它们是否位于预期的位置，以及它们是否使用有效的数字签名进行签名。
调查过去 48 小时内与用户/主机相关的其他警报。
识别执行操作的用户帐户以及该帐户是否应该执行此类操作。
识别目标计算机及其在 IT 环境中的角色。
调查运行了哪些命令，并通过查找跨主机的类似事件来评估此行为是否在环境中普遍存在。

误报分析

此机制可以合法使用。只要分析师没有发现与用户或相关主机相关的可疑活动，并且该工具在组织策略中允许，则可以忽略此类警报。

响应和补救

根据分类结果启动事件响应过程。
优先处理涉及关键服务器和用户的案例。
隔离相关主机，以防止进一步的攻击后行为。
调查攻击者入侵或使用的系统上的凭据泄露情况，以确保识别所有受损帐户。重置这些帐户和其他可能受损的凭据的密码，例如电子邮件、业务系统和 Web 服务。
运行全面的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始向量，并采取行动以防止通过同一向量再次感染。
审查分配给用户的权限，以确保遵循最小权限原则。
使用事件响应数据，更新日志记录和审核策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑

sequence by process.entity_id
  [process where host.os.type == "windows" and process.name : "PsExec.exe" and event.type == "start" and

   /* This flag suppresses the display of the license dialog and may
      indicate that psexec executed for the first time in the machine */
   process.args : "-accepteula" and

   not process.executable : ("?:\\ProgramData\\Docusnap\\Discovery\\discovery\\plugins\\17\\Bin\\psexec.exe",
                             "?:\\Docusnap 11\\Bin\\psexec.exe",
                             "?:\\Program Files\\Docusnap X\\Bin\\psexec.exe",
                             "?:\\Program Files\\Docusnap X\\Tools\\dsDNS.exe") and
   not process.parent.executable : "?:\\Program Files (x86)\\Cynet\\Cynet Scanner\\CynetScanner.exe"]
  [network where host.os.type == "windows" and process.name : "PsExec.exe"]

框架: MITRE ATT&CK^TM

战术
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 系统服务
- ID: T1569
- 参考 URL: https://attack.mitre.org/techniques/T1569/
子技术
- 名称: 服务执行
- ID: T1569.002
- 参考 URL: https://attack.mitre.org/techniques/T1569/002/
战术
- 名称: 横向移动
- ID: TA0008
- 参考 URL: https://attack.mitre.org/tactics/TA0008/
技术
- 名称: 远程服务
- ID: T1021
- 参考 URL: https://attack.mitre.org/techniques/T1021/
子技术
- 名称: SMB/Windows 管理共享
- ID: T1021.002
- 参考 URL: https://attack.mitre.org/techniques/T1021/002/
技术
- 名称: 横向工具传输
- ID: T1570
- 参考 URL: https://attack.mitre.org/techniques/T1570/

« ProxyChains 活动由未签名或不受信任的进程移除隔离属性 »