可疑进程创建 CallTrace
编辑可疑进程创建 CallTrace编辑
识别进程创建并立即从未知内存代码区域和同一父进程访问的情况。这可能表明存在代码注入尝试。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-windows.sysmon_operational-*
严重性: 中等
风险评分: 47
每隔: 5 分钟运行
从以下时间开始搜索索引: now-9m(日期数学格式,另请参见 其他回溯时间)
每次执行的最大警报数: 100
参考: 无
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 策略:防御规避
- 资源:调查指南
- 数据源:Sysmon
版本: 208
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南编辑
分类和分析
调查可疑进程创建 CallTrace
攻击者可能将代码注入到子进程的内存中,以隐藏其实际活动、规避检测机制,并在取证期间降低可发现性。此规则查找 Microsoft Office、脚本和命令行应用程序生成的后代进程,然后查找父进程对未知内存区域的进程访问事件,这可能表明存在代码注入尝试。
可能的调查步骤
- 调查未知进程的进程执行链(父进程树)。检查其可执行文件是否普遍存在,是否位于预期位置,以及是否使用有效的数字签名进行签名。
- 调查受试进程的任何异常行为,例如网络连接、注册表或文件修改以及任何衍生的子进程。
- 调查过去 48 小时内与用户/主机关联的其他警报。
- 在警报时间范围内检查主机是否存在可疑或异常行为。
- 创建子进程的内存转储以进行分析。
误报分析
- 此活动不太可能合法发生。如有必要,可以将良性真阳性 (B-TP) 添加为例外。
响应和补救
- 根据分类结果启动事件响应流程。
- 隔离涉及的主机以防止进一步的妥协后行为。
- 删除和阻止分类期间识别的恶意工件。
- 运行完整的反恶意软件扫描。这可能会揭示系统中遗留的其他工件、持久性机制和恶意软件组件。
- 调查攻击者妥协或使用的系统上的凭据泄露情况,以确保识别所有受损帐户。重置这些帐户和其他可能受损凭据的密码,例如电子邮件、业务系统和 Web 服务。
- 确定攻击者滥用的初始媒介,并采取措施防止通过同一媒介重新感染。
- 使用事件响应数据,更新日志记录和审计策略以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
规则查询编辑
sequence by host.id with maxspan=1m
[process where host.os.type == "windows" and event.code == "1" and
/* sysmon process creation */
process.parent.name : ("winword.exe", "excel.exe", "outlook.exe", "powerpnt.exe", "eqnedt32.exe", "fltldr.exe",
"mspub.exe", "msaccess.exe","cscript.exe", "wscript.exe", "rundll32.exe", "regsvr32.exe",
"mshta.exe", "wmic.exe", "cmstp.exe", "msxsl.exe") and
/* noisy FP patterns */
not (process.parent.name : "EXCEL.EXE" and process.executable : "?:\\Program Files\\Microsoft Office\\root\\Office*\\ADDINS\\*.exe") and
not (process.executable : "?:\\Windows\\splwow64.exe" and process.args in ("8192", "12288") and process.parent.name : ("winword.exe", "excel.exe", "outlook.exe", "powerpnt.exe")) and
not (process.parent.name : "rundll32.exe" and process.parent.args : ("?:\\WINDOWS\\Installer\\MSI*.tmp,zzzzInvokeManagedCustomActionOutOfProc", "--no-sandbox")) and
not (process.executable :
("?:\\Program Files (x86)\\Microsoft\\EdgeWebView\\Application\\*\\msedgewebview2.exe",
"?:\\Program Files\\Adobe\\Acrobat DC\\Acrobat\\Acrobat.exe",
"?:\\Windows\\SysWOW64\\DWWIN.EXE") and
process.parent.name : ("winword.exe", "excel.exe", "outlook.exe", "powerpnt.exe")) and
not (process.parent.name : "regsvr32.exe" and process.parent.args : ("?:\\Program Files\\*", "?:\\Program Files (x86)\\*"))
] by process.parent.entity_id, process.entity_id
[process where host.os.type == "windows" and event.code == "10" and
/* Sysmon process access event from unknown module */
winlog.event_data.CallTrace : "*UNKNOWN*"] by process.entity_id, winlog.event_data.TargetProcessGUID
框架: MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID:TA0005
- 参考网址:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:进程注入
- ID:T1055
- 参考网址:https://attack.mitre.org/techniques/T1055/