› › ›

不寻常的打印后台处理程序子进程

编辑

不寻常的打印后台处理程序子进程编辑

检测不寻常的打印后台处理程序服务 (spoolsv.exe) 子进程。这可能表示试图利用与 Windows 上的打印服务相关的权限提升漏洞。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-windows.*
logs-system.security*

严重性: 中等

风险评分: 47

每: 5m

搜索索引自: now-9m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大警报数: 100

参考资料:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：权限提升
用例：漏洞
数据源：Elastic Defend

版本: 108

规则作者:

Elastic

规则许可证: Elastic License v2

设置编辑

设置

如果在非 elastic-agent 索引（例如 beats）上为版本 <8.2 启用 EQL 规则，则事件将不会定义 event.ingested，并且 EQL 规则的默认回退直到版本 8.2 才添加。因此，为了使此规则有效运行，用户需要添加一个自定义摄取管道来将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参考 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

process where host.os.type == "windows" and event.type == "start" and
 process.parent.name : "spoolsv.exe" and process.command_line != null and
 (?process.Ext.token.integrity_level_name : "System" or ?winlog.event_data.IntegrityLevel : "System") and

 /* exclusions for FP control below */
 not process.name : ("splwow64.exe", "PDFCreator.exe", "acrodist.exe", "spoolsv.exe", "msiexec.exe", "route.exe", "WerFault.exe") and
 not process.command_line : "*\\WINDOWS\\system32\\spool\\DRIVERS*" and
 not (process.name : "net.exe" and process.command_line : ("*stop*", "*start*")) and
 not (process.name : ("cmd.exe", "powershell.exe") and process.command_line : ("*.spl*", "*\\program files*", "*route add*")) and
 not (process.name : "netsh.exe" and process.command_line : ("*add portopening*", "*rule name*")) and
 not (process.name : "regsvr32.exe" and process.command_line : "*PrintConfig.dll*") and
 not process.executable : (
    "?:\\Program Files (x86)\\CutePDF Writer\\CPWriter2.exe",
    "?:\\Program Files (x86)\\GPLGS\\gswin32c.exe"
 )

框架: MITRE ATT&CK^TM

策略
- 名称：权限提升
- ID：TA0004
- 参考 URL：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：用于权限提升的利用
- ID：T1068
- 参考 URL：https://attack.mitre.org/techniques/T1068/