› › ›

通过 COM 远程执行 XSL 脚本

编辑

通过 COM 远程执行 XSL 脚本编辑

识别使用 Microsoft.XMLDOM COM 接口通过 Microsoft Office 进程执行托管 XSL 脚本的情况。这种行为可能表明攻击者企图在系统上执行恶意 JScript 或 VBScript。

规则类型: eql

规则索引:

logs-endpoint.events.process-*
logs-endpoint.events.library-*

严重程度: 低

风险评分: 21

每: 5m

从: now-9m (日期数学格式，另请参阅 其他回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

领域: 端点
操作系统: Windows
用例: 威胁检测
战术: 初始访问
战术: 防御规避
数据源: Elastic Defend

版本: 3

规则作者:

Elastic

规则许可: Elastic License v2

规则查询编辑

sequence with maxspan=1m
 [library where host.os.type == "windows" and dll.name : "msxml3.dll" and
  process.name : ("winword.exe", "excel.exe", "powerpnt.exe", "mspub.exe")] by process.entity_id
 [process where host.os.type == "windows" and event.action == "start" and
  process.parent.name : ("winword.exe", "excel.exe", "powerpnt.exe", "mspub.exe") and
  not process.executable :
        ("?:\\Windows\\System32\\WerFault.exe",
         "?:\\Windows\\SysWoW64\\WerFault.exe",
         "?:\\windows\\splwow64.exe",
         "?:\\Windows\\System32\\conhost.exe",
         "?:\\Program Files\\*.exe",
         "?:\\Program Files (x86)\\*exe")] by process.parent.entity_id

框架: MITRE ATT&CK^TM

战术
- 名称: 初始访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
技术
- 名称: 钓鱼
- ID: T1566
- 参考 URL: https://attack.mitre.org/techniques/T1566/
子技术
- 名称: 针对性钓鱼链接
- ID: T1566.002
- 参考 URL: https://attack.mitre.org/techniques/T1566/002/
战术
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: XSL 脚本处理
- ID: T1220
- 参考 URL: https://attack.mitre.org/techniques/T1220/

« 远程安装 Windows 服务通过 RPC 远程启动服务 »