通过 MS 工作文件夹进行签名代理执行

分类和分析

调查通过 MS 工作文件夹进行签名代理执行

工作文件夹是为运行 Windows Server 的文件服务器提供的角色服务，它为用户提供了一种一致的方式来从 PC 和设备访问其工作文件。这使用户可以存储工作文件并从任何地方访问它们。调用时，工作文件夹会在访问同步共享之前自动执行任何名为 control.exe 的可移植可执行文件 (PE) 作为参数。

使用工作文件夹执行伪装的 control.exe 可能允许攻击者绕过应用程序控制并提升权限。

可能的调查步骤

误报分析

响应和补救

设置

如果在非 elastic-agent 索引（例如 beats）上启用 EQL 规则（适用于版本 <8.2），则事件不会定义 event.ingested，并且直到版本 8.2 才添加 EQL 规则的默认后备。因此，为了让此规则有效工作，用户需要添加一个自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

process where host.os.type == "windows" and event.type == "start"
    and process.name : "control.exe" and process.parent.name : "WorkFolders.exe"
    and not process.executable : ("?:\\Windows\\System32\\control.exe", "?:\\Windows\\SysWOW64\\control.exe")

框架: MITRE ATT&CK^TM