可疑 WerFault 子进程

编辑

可疑 WerFault 子进程编辑

检测到可疑的 WerFault 子进程，这可能表明尝试通过 SilentProcessExit 注册表项操纵来运行。验证进程详细信息，例如命令行、网络连接和文件写入。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-windows.*
endgame-*
logs-sentinel_one_cloud_funnel.*

严重性: 中等

风险评分: 47

每隔: 5m

从以下时间开始搜索索引: now-9m (日期数学格式，另请参见 附加回溯时间)

每次执行的最大警报数: 100

参考:

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：防御规避
策略：持久性
策略：权限提升
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：SentinelOne

版本: 314

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

设置编辑

设置

如果在版本<8.2的非弹性代理索引（例如beats）上启用 EQL 规则，事件将不会定义event.ingested，并且直到版本 8.2 才添加 EQL 规则的默认后备。因此，为了让此规则有效工作，用户需要添加自定义摄取管道以将event.ingested填充到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

process where host.os.type == "windows" and event.type == "start" and

  process.parent.name : "WerFault.exe" and

  /* args -s and -t used to execute a process via SilentProcessExit mechanism */
  (process.parent.args : "-s" and process.parent.args : "-t" and process.parent.args : "-c") and

  not process.executable : ("?:\\Windows\\SysWOW64\\Initcrypt.exe", "?:\\Program Files (x86)\\Heimdal\\Heimdal.Guard.exe")

框架: MITRE ATT&CK^TM

策略
- 名称：防御规避
- ID：TA0005
- 参考网址：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：伪装
- ID：T1036
- 参考网址：https://attack.mitre.org/techniques/T1036/
策略
- 名称：持久性
- ID：TA0003
- 参考网址：https://attack.mitre.org/tactics/TA0003/
技术
- 名称：事件触发执行
- ID：T1546
- 参考网址：https://attack.mitre.org/techniques/T1546/
子技术
- 名称：图像文件执行选项注入
- ID：T1546.012
- 参考网址：https://attack.mitre.org/techniques/T1546/012/
策略
- 名称：权限提升
- ID：TA0004
- 参考网址：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：事件触发执行
- ID：T1546
- 参考网址：https://attack.mitre.org/techniques/T1546/
子技术
- 名称：图像文件执行选项注入
- ID：T1546.012
- 参考网址：https://attack.mitre.org/techniques/T1546/012/

« 可疑 Web 浏览器敏感文件访问由主机生成的可疑 Windows 进程集群 »