› › ›

从 Google 云端硬盘下载的可疑文件

编辑

从 Google 云端硬盘下载的可疑文件编辑

识别从 Google 云端硬盘 URL 下载可疑文件的情况。这可能表明试图通过受信任的网络服务传递网络钓鱼有效载荷。

规则类型: eql

规则索引:

auditbeat-*
logs-endpoint*
logs-system.security*

严重性: 中等

风险评分: 47

每隔: 5m

从: now-9m (日期数学格式，另请参见 附加回溯时间)

每次执行的最大警报数: 100

参考:

https://intelligence.abnormalsecurity.com/blog/google-drive-matanbuchus-malware

标签:

域：端点
操作系统：Linux
操作系统：Windows
操作系统：macOS
用例：威胁检测
策略：指挥和控制

版本: 3

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

规则查询编辑

process where

    /* common browser processes  */
    event.action in ("exec", "fork", "start") and

    process.name : ("Microsoft Edge", "chrome.exe", "Google Chrome", "google-chrome-stable",
                    "google-chrome-beta", "google-chrome", "msedge.exe", "firefox.exe", "brave.exe",
                    "whale.exe", "browser.exe", "dragon.exe", "vivaldi.exe", "opera.exe", "firefox",
                    "powershell.exe", "curl", "curl.exe", "wget", "wget.exe") and

    /* Look for Google Drive download URL with AV flag skipping */
    (process.command_line : "*drive.google.com*" and process.command_line : "*export=download*" and process.command_line : "*confirm=no_antivirus*")

框架: MITRE ATT&CK^TM

策略
- 名称：指挥和控制
- ID: TA0011
- 参考网址：https://attack.mitre.org/tactics/TA0011/
技术
- 名称：入口工具传输
- ID：T1105
- 参考网址：https://attack.mitre.org/techniques/T1105/

« 通过 Kworker 创建可疑文件通过 SMB 重命名可疑文件 »