› › ›

已安装远程 Windows 服务

编辑

已安装远程 Windows 服务编辑

标识网络登录，然后使用相同的 LogonId 创建 Windows 服务。这可能是横向移动的指示，但如果管理员经常这样做，将会产生很多噪音。

规则类型: eql

规则索引:

winlogbeat-*
logs-system.*
logs-windows.*

严重性: 中等

风险评分: 47

每隔: 5 分钟运行一次

从以下时间开始搜索索引: now-9m（日期数学格式，另请参见 其他回溯时间）

每次执行的最大警报数: 100

参考: 无

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：横向移动
策略：持久性

版本: 6

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询编辑

sequence by winlog.logon.id, winlog.computer_name with maxspan=1m
[authentication where event.action == "logged-in" and winlog.logon.type : "Network" and
event.outcome=="success" and source.ip != null and source.ip != "127.0.0.1" and source.ip != "::1"]
[iam where event.action == "service-installed" and
 not winlog.event_data.SubjectLogonId : "0x3e7" and
 not winlog.event_data.ServiceFileName :
               ("?:\\Windows\\ADCR_Agent\\adcrsvc.exe",
                "?:\\Windows\\System32\\VSSVC.exe",
                "?:\\Windows\\servicing\\TrustedInstaller.exe",
                "?:\\Windows\\System32\\svchost.exe",
                "?:\\Program Files (x86)\\*.exe",
                "?:\\Program Files\\*.exe",
                "?:\\Windows\\PSEXESVC.EXE",
                "?:\\Windows\\System32\\sppsvc.exe",
                "?:\\Windows\\System32\\wbem\\WmiApSrv.exe",
                "?:\\WINDOWS\\RemoteAuditService.exe",
                "?:\\Windows\\VeeamVssSupport\\VeeamGuestHelper.exe",
                "?:\\Windows\\VeeamLogShipper\\VeeamLogShipper.exe",
                "?:\\Windows\\CAInvokerService.exe",
                "?:\\Windows\\System32\\upfc.exe",
                "?:\\Windows\\AdminArsenal\\PDQ*.exe",
                "?:\\Windows\\System32\\vds.exe",
                "?:\\Windows\\Veeam\\Backup\\VeeamDeploymentSvc.exe",
                "?:\\Windows\\ProPatches\\Scheduler\\STSchedEx.exe",
                "?:\\Windows\\System32\\certsrv.exe",
                "?:\\Windows\\eset-remote-install-service.exe",
                "?:\\Pella Corporation\\Pella Order Management\\GPAutoSvc.exe",
                "?:\\Pella Corporation\\OSCToGPAutoService\\OSCToGPAutoSvc.exe",
                "?:\\Pella Corporation\\Pella Order Management\\GPAutoSvc.exe",
                "?:\\Windows\\SysWOW64\\NwxExeSvc\\NwxExeSvc.exe",
                "?:\\Windows\\System32\\taskhostex.exe")]

框架: MITRE ATT&CK^TM

策略
- 名称：横向移动
- ID：TA0008
- 参考网址：https://attack.mitre.org/tactics/TA0008/
技术
- 名称：远程服务
- ID：T1021
- 参考网址：https://attack.mitre.org/techniques/T1021/
策略
- 名称：持久性
- ID：TA0003
- 参考网址：https://attack.mitre.org/tactics/TA0003/
技术
- 名称：创建或修改系统进程
- ID：T1543
- 参考网址：https://attack.mitre.org/techniques/T1543/
子技术
- 名称：Windows 服务
- ID：T1543.003
- 参考网址：https://attack.mitre.org/techniques/T1543/003/

« 远程系统发现命令通过 COM 执行远程 XSL 脚本 »