› › ›

可疑托管代码托管进程

编辑

可疑托管代码托管进程编辑

识别可疑托管代码托管进程，这可能表明代码注入或其他形式的可疑代码执行。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.file-*
logs-windows.sysmon_operational-*

严重性: 高

风险评分: 73

每隔: 5m

从以下时间开始搜索索引: now-9m (日期数学格式，另请参见 其他回溯时间)

每次执行的最大警报数: 100

参考:

http://web.archive.org/web/20230329154538/https://blog.menasec.net/2019/07/interesting-difr-traces-of-net-clr.html

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：防御规避
数据源：Elastic Defend
数据源：Sysmon

版本: 108

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

规则查询编辑

file where host.os.type == "windows" and event.type != "deletion" and
  file.name : ("wscript.exe.log",
               "cscript.exe.log",
               "mshta.exe.log",
               "wmic.exe.log",
               "svchost.exe.log",
               "dllhost.exe.log",
               "cmstp.exe.log",
               "regsvr32.exe.log")

框架: MITRE ATT&CK^TM

策略
- 名称：防御规避
- ID：TA0005
- 参考 URL：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：进程注入
- ID：T1055
- 参考 URL：https://attack.mitre.org/techniques/T1055/

« 可疑 MS Outlook 子进程可疑内存 grep 活动 »