› › ›

来自 MS Office 的可疑 WMI 镜像加载

识别来自 Microsoft Office 进程的可疑镜像加载（wmiutils.dll）。此行为可能表明存在对抗活动，其中子进程通过 Windows Management Instrumentation (WMI) 生成。此技术可用于执行代码并规避从 Microsoft Office 产品生成的传统父/子进程。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.library-*
logs-windows.sysmon_operational-*
endgame-*

严重程度: 低

风险评分: 21

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考:

https://medium.com/threatpunter/detecting-adversary-tradecraft-with-image-load-event-logging-and-eql-8de93338c16

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 执行
数据源: Elastic Endgame
数据源: Elastic Defend
数据源: Sysmon

版本: 208

规则作者:

Elastic

规则许可: Elastic License v2

设置

编辑

设置

如果在 8.2 之前的版本中对非 elastic-agent 索引（例如 beats）启用 EQL 规则，则事件将不会定义 event.ingested，并且直到 8.2 版本才添加 EQL 规则的默认回退。因此，为了使此规则有效工作，用户需要添加一个自定义摄取管道以将 event.ingested 填充为 @timestamp。有关添加自定义摄取管道的更多详细信息，请参考 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询

编辑

any where host.os.type == "windows" and
 (event.category : ("library", "driver") or (event.category == "process" and event.action : "Image loaded*")) and
  process.name : ("WINWORD.EXE", "EXCEL.EXE", "POWERPNT.EXE", "MSPUB.EXE", "MSACCESS.EXE") and
  (?dll.name : "wmiutils.dll" or file.name : "wmiutils.dll")

框架: MITRE ATT&CK^TM

战术
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: Windows Management Instrumentation
- ID: T1047
- 参考 URL: https://attack.mitre.org/techniques/T1047/

« 可疑 WMI 事件订阅创建可疑 WMIC XSL 脚本执行 »