« 可疑进程创建调用跟踪 可疑 RDP ActiveX 客户端已加载 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

通过重命名 PsExec 可执行文件执行可疑进程

编辑

通过重命名 PsExec 可执行文件执行可疑进程编辑

识别从已重命名的 psexec 服务执行的可疑 psexec 活动,这可能是为了逃避检测。

规则类型: eql

规则索引:

  • winlogbeat-*
  • logs-endpoint.events.process-*
  • logs-windows.sysmon_operational-*
  • endgame-*

严重程度: 中等

风险评分: 47

: 5m

搜索索引来自: now-9m (日期数学格式,另请参阅 附加回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 战术:执行
  • 战术:防御规避
  • 数据源:Elastic Endgame
  • 资源:调查指南
  • 数据源:Elastic Defend
  • 数据源:Sysmon

版本: 111

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南编辑

分类和分析

调查通过重命名 PsExec 可执行文件执行可疑进程

PsExec 是一种远程管理工具,它允许在 Windows 系统上以常规和 SYSTEM 特权执行命令。它通过在远程系统上执行服务组件 Psexecsvc 来运行,该组件然后运行指定的进程并将结果返回到本地系统。Microsoft 作为 Sysinternals Suite 的一部分开发了 PsExec。虽然通常由管理员使用,但 PsExec 经常被攻击者用来启用横向移动并以 SYSTEM 身份执行命令以禁用防御并绕过安全保护。

此规则标识使用自定义名称执行 PsExec 服务组件的实例。这种行为可能表明试图绕过安全控制或查找默认 PsExec 服务组件名称的检测。

可能的调查步骤

  • 检查此工具的使用是否符合组织的管理策略。
  • 调查过去 48 小时内与用户/主机关联的其他警报。
  • 识别执行此操作的用户帐户,以及该帐户是否应该执行此类操作。
  • 识别目标计算机及其在 IT 环境中的角色。
  • 调查运行了哪些命令,并通过查看主机之间类似事件来评估这种行为在环境中的流行程度。

误报分析

  • 此机制可以合法使用。只要分析师没有发现与用户或相关主机相关的可疑活动,并且组织的策略允许使用此工具,则可以忽略此类警报。

响应和补救

  • 根据分类结果启动事件响应流程。
  • 优先处理涉及关键服务器和用户的案例。
  • 隔离相关主机以防止进一步的攻击后行为。
  • 调查在受损或攻击者使用的系统上暴露的凭据,以确保识别所有受损帐户。重置这些帐户以及其他可能受损的凭据的密码,例如电子邮件、业务系统和 Web 服务。
  • 运行完整的反恶意软件扫描。这可能会发现系统中留下的其他工件、持久性机制和恶意软件组件。
  • 确定攻击者滥用的初始载体,并采取措施防止通过相同载体再次感染。
  • 审查分配给用户的权限,以确保遵循最小权限原则。
  • 使用事件响应数据更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

如果在非 elastic-agent 索引(例如 beats)上为版本 <8.2 启用 EQL 规则,则事件不会定义 event.ingested,并且 EQL 规则的默认回退直到版本 8.2 才添加。因此,为了使此规则有效运行,用户需要添加一个自定义提取管道来将 event.ingested 填充到 @timestamp。有关添加自定义提取管道的更多详细信息,请参考 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

process where host.os.type == "windows" and event.type == "start" and
  process.pe.original_file_name : "psexesvc.exe" and not process.name : "PSEXESVC.exe"

框架: MITRE ATT&CKTM

« 可疑进程创建调用跟踪 可疑 RDP ActiveX 客户端已加载 »