通过异常客户端安装的 Windows 服务
编辑通过异常客户端安装的 Windows 服务编辑
识别由异常客户端进程创建的 Windows 服务。服务可以使用管理员权限创建,但在 SYSTEM 权限下执行,因此攻击者也可以使用服务将权限从管理员提升到 SYSTEM。
规则类型: eql
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重性: 高
风险评分: 73
每运行一次: 5m
从搜索索引: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 策略: 权限提升
版本: 109
规则作者:
- Elastic
规则许可证: Elastic 许可证 v2
设置编辑
设置
必须为 (成功) 步骤配置 审核安全系统扩展 日志策略,以使用高级审核配置实现日志策略
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > System > Audit Security System Extension (Success)
规则查询编辑
configuration where host.os.type == "windows" and
event.action == "service-installed" and
(winlog.event_data.ClientProcessId == "0" or winlog.event_data.ParentProcessId == "0") and
not winlog.event_data.ServiceFileName : (
"?:\\Windows\\VeeamVssSupport\\VeeamGuestHelper.exe",
"?:\\Windows\\VeeamLogShipper\\VeeamLogShipper.exe",
"%SystemRoot%\\system32\\Drivers\\Crowdstrike\\*-CsInstallerService.exe",
"\"%windir%\\AdminArsenal\\PDQInventory-Scanner\\service-1\\PDQInventory-Scanner-1.exe\" "
)
框架: MITRE ATT&CKTM
-
策略
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称: 创建或修改系统进程
- ID: T1543
- 参考 URL: https://attack.mitre.org/techniques/T1543/
-
子技术
- 名称: Windows 服务
- ID: T1543.003
- 参考 URL: https://attack.mitre.org/techniques/T1543/003/