New

The executive guide to generative AI

Read more
About usPartnersSupport|Login
« 通过计划任务进行可疑执行 可疑的资源管理器子进程 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和告警 预构建规则参考

通过 Windows Linux 子系统进行可疑执行

编辑

通过 Windows Linux 子系统进行可疑执行

编辑

检测来自 Windows Linux 子系统的 Linux Bash 命令。攻击者可能会启用和使用 WSL for Linux 以避免被检测到。

规则类型: eql

规则索引:

  • winlogbeat-*
  • logs-endpoint.events.process-*
  • logs-windows.sysmon_operational-*
  • endgame-*
  • logs-m365_defender.event-*
  • logs-sentinel_one_cloud_funnel.*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引起始时间: now-9m (日期数学格式, 另请参阅 额外的回溯时间)

每次执行的最大告警数: 100

参考:

标签:

  • 域: 端点
  • 操作系统: Windows
  • 使用场景: 威胁检测
  • 战术: 执行
  • 战术: 防御规避
  • 数据源: Elastic Endgame
  • 数据源: Elastic Defend
  • 数据源: Microsoft Defender for Endpoint
  • 数据源: Sysmon
  • 数据源: SentinelOne

版本: 207

规则作者:

  • Elastic

规则许可证: Elastic License v2

规则查询

编辑
process where host.os.type == "windows" and event.type : "start" and
  (
    (
      (process.executable : "?:\\Windows\\System32\\bash.exe" or ?process.pe.original_file_name == "Bash.exe") and
      not process.command_line : ("bash", "bash.exe")
    ) or
    process.executable : "?:\\Users\\*\\AppData\\Local\\Packages\\*\\rootfs\\usr\\bin\\bash" or
    (
      process.parent.name : "wsl.exe" and process.parent.command_line : "bash*" and not process.name : "wslhost.exe"
    ) or
    (
      process.name : "wsl.exe" and process.args : (
        "curl", "/etc/shadow", "/etc/passwd", "cat", "--system", "root", "-e", "--exec", "bash", "/mnt/c/*"
      ) and not process.args : ("wsl-bootstrap", "docker-desktop-data", "*.vscode-server*")
    )
  ) and
    not process.parent.executable : ("?:\\Program Files\\Docker\\*.exe", "?:\\Program Files (x86)\\Docker\\*.exe")

框架: MITRE ATT&CKTM

« 通过计划任务进行可疑执行 可疑的资源管理器子进程 »

On this page

Was this helpful?
Feedback