Windows 网络枚举

编辑

Windows 网络枚举

编辑

识别使用内置 Windows net.exe 工具枚举网络中主机的尝试。

规则类型: eql

规则索引:

logs-endpoint.events.process-*
winlogbeat-*
logs-windows.*
endgame-*

严重性: 中

风险评分: 47

运行频率: 5分钟

搜索索引起始时间: now-9m (日期数学格式，另请参阅其他回溯时间)

每次执行的最大警报数: 100

参考:

https://elastic.ac.cn/security-labs/siestagraph-new-implant-uncovered-in-asean-member-foreign-ministry

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
策略: 发现
策略: 收集
资源: 调查指南
数据源: Elastic Endgame
数据源: Elastic Defend
规则类型: BBR

版本: 214

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 Windows 网络枚举

在成功入侵环境后，攻击者可能会尝试获取态势感知，以计划下一步行动。这可以通过运行命令来枚举网络资源、用户、连接、文件和已安装的安全软件来实现。

此规则查找执行 net 实用程序以枚举环境中托管共享驱动器或打印机的服务器。此信息对攻击者很有用，因为他们可以识别横向移动的目标并搜索有价值的共享数据。

可能的调查步骤

调查未知进程的进程执行链（父进程树）。检查其可执行文件的普遍性、是否位于预期位置以及是否使用有效的数字签名进行签名。
确定执行操作的用户帐户以及它是否应该执行此类操作。
调查过去 48 小时内与用户/主机相关的其他警报。
调查任何异常的帐户行为，例如命令执行、文件创建或修改以及网络连接。

误报分析

如果发现活动是孤立发生的，则发现活动本身并非恶意。只要分析师没有发现与用户或主机相关的可疑活动，就可以忽略此类警报。

响应和补救

根据分类结果启动事件响应过程。
隔离相关主机以防止进一步的入侵后行为。
调查受攻击者入侵或使用的系统上的凭据暴露情况，以确保识别所有受损帐户。重置这些帐户以及其他可能泄露的凭据（例如电子邮件、业务系统和 Web 服务）的密码。
运行完整的反恶意软件扫描。这可能会揭示系统中遗留的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始向量，并采取措施防止通过同一向量再次感染。
使用事件响应数据，更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

如果在版本 <8.2 的非 elastic-agent 索引（如 beats）上启用 EQL 规则，则事件将不会定义 event.ingested，并且直到版本 8.2 才添加 EQL 规则的默认回退。因此，为了使此规则有效工作，用户需要添加自定义的摄取管道，以将 event.ingested 填充为 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询

编辑

process where host.os.type == "windows" and event.type == "start" and
  ((process.name : "net.exe" or process.pe.original_file_name == "net.exe") or
   ((process.name : "net1.exe" or process.pe.original_file_name == "net1.exe") and
       not process.parent.name : "net.exe")) and
  (process.args : "view" or (process.args : "time" and process.args : "\\\\*")) and
  not process.command_line : "net  view \\\\localhost "


  /* expand when ancestry is available
  and not descendant of [process where event.type == "start" and process.name : "cmd.exe" and
                           ((process.parent.name : "userinit.exe") or
                            (process.parent.name : "gpscript.exe") or
                            (process.parent.name : "explorer.exe" and
                               process.args : "C:\\*\\Start Menu\\Programs\\Startup\\*.bat*"))]
  */

框架: MITRE ATT&CK^TM

策略
- 名称: 发现
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/
技术
- 名称: 远程系统发现
- ID: T1018
- 参考 URL: https://attack.mitre.org/techniques/T1018/
技术
- 名称: 网络共享发现
- ID: T1135
- 参考 URL: https://attack.mitre.org/techniques/T1135/
策略
- 名称: 收集
- ID: TA0009
- 参考 URL: https://attack.mitre.org/tactics/TA0009/
技术
- 名称: 来自网络共享驱动器的数据
- ID: T1039
- 参考 URL: https://attack.mitre.org/techniques/T1039/

« 具有可疑属性的 Windows 安装程序在 SMB 共享中创建 Windows 注册表文件 »