› › ›

DNS 服务加载无签名 DLL

编辑

DNS 服务加载无签名 DLL编辑

识别 DNS 服务器进程加载的异常 DLL，这可能表明滥用了 ServerLevelPluginDll 功能。这会导致特权提升以及使用 SYSTEM 权限执行远程代码。

规则类型: eql

规则索引:

logs-endpoint.events.library-*
logs-windows.sysmon_operational-*

严重程度: 中等

风险评分: 47

每: 5m 运行一次

从: now-9m 搜索索引 (日期数学格式，另请参见 附加回溯时间)

每次执行的最大警报数: 100

参考:

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：特权提升
数据源：Elastic Defend
数据源：Sysmon

版本: 1

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询编辑

any where host.os.type == "windows" and event.category : ("library", "process") and
  event.type : ("start", "change") and event.action : ("load", "Image loaded*") and
  process.executable : "?:\\windows\\system32\\dns.exe" and
  not ?dll.code_signature.trusted == true and
  not file.code_signature.status == "Valid"

框架: MITRE ATT&CK^TM

战术
- 名称：特权提升
- ID：TA0004
- 参考 URL：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：用于特权提升的利用
- ID：T1068
- 参考 URL：https://attack.mitre.org/techniques/T1068/

« 来自可疑文件夹的无签名 DLL 侧加载加载了不受信任的驱动程序 »