远程计划任务创建
编辑远程计划任务创建编辑
识别目标主机上的远程计划任务创建。这可能是对手横向移动的指示。
规则类型: eql
规则索引:
- logs-endpoint.events.registry-*
- logs-endpoint.events.network-*
- winlogbeat-*
- logs-windows.sysmon_operational-*
严重性: 中等
风险评分: 47
每隔: 5m
从以下时间开始搜索索引: now-9m (日期数学格式,另请参见 其他回溯时间)
每次执行的最大警报数: 100
参考: 无
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 策略:横向移动
- 资源:调查指南
- 数据源:Elastic Defend
- 数据源:Sysmon
版本: 108
规则作者:
- Elastic
规则许可: Elastic 许可证 v2
调查指南编辑
分诊和分析
调查远程计划任务创建
计划任务是用于持久性和程序执行的绝佳机制。这些功能可出于各种合法原因远程使用,但同时也可被恶意软件和攻击者使用。在调查远程设置的计划任务时,第一步应该是确定配置背后的原始意图,并验证该活动是否与良性行为(例如软件安装或任何类型的网络管理员工作)相关。这些警报的一个目标是了解计划任务中配置的操作。这在该规则的注册表事件数据中被捕获,并且可以进行 base64 解码以查看值。
可能的调查步骤
- 查看 base64 编码的任务操作注册表值以调查已配置的任务操作。
- 验证该活动是否与计划的补丁、更新、网络管理员活动或合法的软件安装无关。
- 进一步检查应包括在计划任务创建前后对源计算机和目标计算机的主机工件和网络日志进行审查。
误报分析
- 与远程计划任务的创建相关的良性活动有很高的可能性,因为它是在 Windows 中的一般功能,并用于各种活动的合法目的。应找到任何类型的上下文以进一步了解该活动的来源,并根据计划任务的内容确定意图。
相关规则
- 服务命令横向移动 - d61cbcf8-1bc1-4cff-85ba-e7b21c5beedc
- 通过 RPC 远程启动服务 - aa9a274d-6b53-424d-ac5e-cb8ca4251650
响应和补救
- 根据分诊结果启动事件响应流程。
- 隔离涉及的主机以防止进一步的入侵后行为。
- 删除计划任务和任何其他相关工件。
- 审查特权帐户管理和用户帐户管理设置。考虑实施组策略对象 (GPO) 策略以进一步限制活动,或配置仅允许管理员创建远程计划任务的设置。
规则查询编辑
/* Task Scheduler service incoming connection followed by TaskCache registry modification */
sequence by host.id, process.entity_id with maxspan = 1m
[network where host.os.type == "windows" and process.name : "svchost.exe" and
network.direction : ("incoming", "ingress") and source.port >= 49152 and destination.port >= 49152 and
source.ip != "127.0.0.1" and source.ip != "::1"
]
[registry where host.os.type == "windows" and registry.path : "HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tasks\\*\\Actions"]
框架:MITRE ATT&CKTM
-
策略
- 名称:横向移动
- ID:TA0008
- 参考网址:https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称:远程服务
- ID:T1021
- 参考网址:https://attack.mitre.org/techniques/T1021/
-
策略
- 名称:执行
- ID:TA0002
- 参考网址:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:计划任务/作业
- ID:T1053
- 参考网址:https://attack.mitre.org/techniques/T1053/
-
子技术
- 名称:计划任务
- ID:T1053.005
- 参考网址:https://attack.mitre.org/techniques/T1053/005/