« 在启动文件夹中写入或修改的快捷方式文件 SoftwareUpdate 首选项修改 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和警报 预构建规则参考

通过 MS 工作文件夹执行已签名代理

编辑

通过 MS 工作文件夹执行已签名代理

编辑

识别使用 Windows 工作文件夹在当前工作目录中执行潜在伪装的 control.exe 文件。滥用 Windows 工作文件夹可能表明存在恶意活动。

规则类型: eql

规则索引:

  • winlogbeat-*
  • logs-windows.forwarded*
  • logs-windows.sysmon_operational-*
  • endgame-*
  • logs-system.security*
  • logs-m365_defender.event-*
  • logs-sentinel_one_cloud_funnel.*
  • logs-crowdstrike.fdr*

严重程度: 中

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式, 另请参见 额外的回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域: 端点
  • 操作系统: Windows
  • 用例: 威胁检测
  • 策略: 防御规避
  • 资源: 调查指南
  • 数据源: Elastic Endgame
  • 数据源: 系统
  • 数据源: Microsoft Defender for Endpoint
  • 数据源: Sysmon
  • 数据源: SentinelOne
  • 数据源: Crowdstrike

版本: 310

规则作者:

  • Elastic
  • Austin Songer

规则许可证: Elastic License v2

调查指南

编辑

初步评估和分析

调查通过 MS 工作文件夹执行的已签名代理

工作文件夹是运行 Windows Server 的文件服务器的角色服务,为用户提供了一种从其 PC 和设备访问其工作文件的一致方式。这允许用户存储工作文件并从任何位置访问它们。当被调用时,工作文件夹会在访问同步共享之前自动执行任何名为 control.exe 的可移植可执行文件 (PE) 作为参数。

使用工作文件夹执行伪装的 control.exe 可能会允许攻击者绕过应用程序控制并提升权限。

可能的调查步骤

  • 调查未知进程的进程执行链(父进程树)。检查它们的可执行文件是否普遍存在,它们是否位于预期位置,以及它们是否使用有效的数字签名进行签名。
  • 检查 WorkFolders.exe 二进制文件的位置,以确定它是否被复制到 control.exe 二进制文件的位置。默认情况下,它位于 System32 目录中。
  • 跟踪与 control.exe 二进制文件相关的活动,以识别主机上的任何持续入侵活动。
  • 查看使用工作文件夹执行的 control.exe 二进制文件,以确定是否存在恶意行为,例如其他主机活动或网络流量。
  • 确定 control.exe 是否已同步到同步共享,这表明可能存在横向移动。
  • 查看 control.exe 最初是如何在主机上交付的,例如通过电子邮件发送、从 Web 下载或从单独的二进制文件写入磁盘。

误报分析

  • Windows 工作文件夹由最终用户和管理员合法用于文件共享和同步,但不会在传递可疑的 control.exe 作为参数的情况下使用。

响应和补救

  • 根据初步评估的结果启动事件响应流程。
  • 隔离受影响的主机,以防止进一步的攻击后行为。
  • 查看工作文件夹同步共享,以确定是否共享了 control.exe,如果是,则将其删除。
  • 如果在调查期间未发现横向移动,请在可能的情况下使受影响的主机脱机,并删除 control.exe 二进制文件以及调查期间发现的任何其他工件。
  • 考虑集成 Windows 信息保护 (WIP) 以通过加密使用工作文件夹的 PC 上的数据来强制执行数据保护。
  • 与用户确认这是否是预期的,并重置他们的密码。

规则查询

编辑
process where host.os.type == "windows" and event.type == "start" and
  process.name : "control.exe" and process.parent.name : "WorkFolders.exe" and
  not process.executable : (
    "?:\\Windows\\System32\\control.exe",
    "?:\\Windows\\SysWOW64\\control.exe",
    "\\Device\\HarddiskVolume?\\Windows\\System32\\control.exe",
    "\\Device\\HarddiskVolume?\\Windows\\SysWOW64\\control.exe"
  )

框架: MITRE ATT&CKTM

« 在启动文件夹中写入或修改的快捷方式文件 SoftwareUpdate 首选项修改 »