通过 RPC 创建远程计划任务
编辑通过 RPC 创建远程计划任务编辑
识别来自远程源的计划任务创建。这可能表明攻击者横向移动。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-system.security*
- logs-windows.forwarded*
严重性: 中等
风险评分: 47
每隔: 5 分钟
搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大警报数: 100
参考资料: 无
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 战术: 横向移动
版本: 8
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南编辑
分类和分析
调查远程计划任务创建
计划任务 是持久性和程序执行的绝佳机制。这些功能可以远程用于各种合法目的,但同时也可以被恶意软件和攻击者利用。在调查远程设置的计划任务时,第一步应该是确定配置背后的最初意图,并验证活动是否与良性行为相关联,例如软件安装或任何类型的网络管理员工作。这些警报的目标之一是了解计划任务中配置的操作。这在该规则的注册表事件数据中捕获,可以进行 base64 解码以查看该值。
可能的调查步骤
- 查看 TaskContent 值以调查配置的任务操作。
- 验证活动是否与计划的修补程序、更新、网络管理员活动或合法软件安装无关。
- 进一步的检查应包括审查计划任务创建时前后源主机和目标主机的基于主机的工件和网络日志。
误报分析
- 远程计划任务的创建与良性活动高度相关,因为它是 Windows 中的一项通用功能,用于各种合法目的。应找到任何类型的上下文,以进一步了解活动的来源,并根据计划任务的内容来确定意图。
相关规则
- 服务命令横向移动 - d61cbcf8-1bc1-4cff-85ba-e7b21c5beedc
- 通过 RPC 远程启动的服务 - aa9a274d-6b53-424d-ac5e-cb8ca4251650
- 远程计划任务创建 - 954ee7c8-5437-49ae-b2d6-2960883898e9
响应和补救
- 根据分类结果启动事件响应流程。
- 隔离相关主机,以防止进一步的攻击行为。
- 删除计划任务和任何其他相关工件。
- 审查特权帐户管理和用户帐户管理设置。考虑实施组策略对象 (GPO) 策略以进一步限制活动,或配置仅允许管理员创建远程计划任务的设置。
规则查询编辑
iam where event.action == "scheduled-task-created" and winlog.event_data.RpcCallClientLocality : "0" and winlog.event_data.ClientProcessId : "0"
框架: MITRE ATT&CKTM
-
战术
- 名称: 横向移动
- ID: TA0008
- 参考 URL: https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称: 远程服务
- ID: T1021
- 参考 URL: https://attack.mitre.org/techniques/T1021/
-
战术
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称: 计划任务/作业
- ID: T1053
- 参考 URL: https://attack.mitre.org/techniques/T1053/
-
子技术
- 名称: 计划任务
- ID: T1053.005
- 参考 URL: https://attack.mitre.org/techniques/T1053/005/