› › ›

通过 Microsoft Office 加载项的可疑执行

edit

通过 Microsoft Office 加载项的怀疑执行edit

识别从可疑路径或使用不寻常的父进程启动 Office 加载项的常见 Microsoft Office 应用程序的执行。这可能表明企图通过恶意钓鱼 MS Office 加载项获得初始访问权限。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-windows.sysmon_operational-*
endgame-*

严重性: 中等

风险评分: 47

每: 5m

搜索索引自: now-9m (日期数学格式，另请参见 其他回溯时间)

每次执行的最大警报次数: 100

参考资料:

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：初始访问
战术：持久性
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：Sysmon

版本: 5

规则作者:

Elastic

规则许可: Elastic License v2

规则查询edit

process where

    host.os.type == "windows" and event.type == "start" and

    process.name : ("WINWORD.EXE", "EXCEL.EXE", "POWERPNT.EXE", "MSACCESS.EXE", "VSTOInstaller.exe") and

    process.args regex~ """.+\.(wll|xll|ppa|ppam|xla|xlam|vsto)""" and

    /* Office Add-In from suspicious paths */
    (process.args :
             ("?:\\Users\\*\\Temp\\7z*",
              "?:\\Users\\*\\Temp\\Rar$*",
              "?:\\Users\\*\\Temp\\Temp?_*",
              "?:\\Users\\*\\Temp\\BNZ.*",
              "?:\\Users\\*\\Downloads\\*",
              "?:\\Users\\*\\AppData\\Roaming\\*",
              "?:\\Users\\Public\\*",
              "?:\\ProgramData\\*",
              "?:\\Windows\\Temp\\*",
              "\\Device\\*",
              "http*") or

    process.parent.name : ("explorer.exe", "OpenWith.exe") or

    /* Office Add-In from suspicious parent */
    process.parent.name : ("cmd.exe", "powershell.exe")) and

    /* False Positives */
    not (process.args : "*.vsto" and
         process.parent.executable :
                   ("?:\\Program Files\\Logitech\\LogiOptions\\PlugInInstallerUtility*.exe",
                    "?:\\ProgramData\\Logishrd\\LogiOptions\\Plugins\\VSTO\\*\\VSTOInstaller.exe",
                    "?:\\Program Files\\Logitech\\LogiOptions\\PlugInInstallerUtility.exe",
                    "?:\\Program Files\\LogiOptionsPlus\\PlugInInstallerUtility*.exe",
                    "?:\\ProgramData\\Logishrd\\LogiOptionsPlus\\Plugins\\VSTO\\*\\VSTOInstaller.exe",
                    "?:\\Program Files\\Common Files\\microsoft shared\\VSTO\\*\\VSTOInstaller.exe")) and
    not (process.args : "/Uninstall" and process.name : "VSTOInstaller.exe") and
    not (process.parent.name : "rundll32.exe" and
         process.parent.args : "?:\\WINDOWS\\Installer\\MSI*.tmp,zzzzInvokeManagedCustomActionOutOfProc") and
    not (process.name : "VSTOInstaller.exe" and process.args : "https://dl.getsidekick.com/outlook/vsto/Sidekick.vsto")

框架: MITRE ATT&CK^TM

战术
- 名称：初始访问
- ID：TA0001
- 参考 URL： https://attack.mitre.org/tactics/TA0001/
技术
- 名称：网络钓鱼
- ID：T1566
- 参考 URL： https://attack.mitre.org/techniques/T1566/
子技术
- 名称：鱼叉式钓鱼附件
- ID：T1566.001
- 参考 URL： https://attack.mitre.org/techniques/T1566/001/
战术
- 名称：持久性
- ID：TA0003
- 参考 URL： https://attack.mitre.org/tactics/TA0003/
技术
- 名称：Office 应用程序启动
- ID：T1137
- 参考 URL： https://attack.mitre.org/techniques/T1137/
子技术
- 名称：加载项
- ID：T1137.006
- 参考 URL： https://attack.mitre.org/techniques/T1137/006/

« 通过 MSIEXEC 的可疑执行通过计划任务的怀疑执行 »