已安装适用于 Linux 发行版的 Windows 子系统

编辑

已安装适用于 Linux 发行版的 Windows 子系统编辑

检测注册表中指示按名称安装新的适用于 Linux 发行版的 Windows 子系统的更改。攻击者可能启用并使用 WSL for Linux 以避免被检测到。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.registry-*
logs-windows.sysmon_operational-*
endgame-*

严重性: 中等

风险评分: 47

每隔: 5 分钟运行一次

从以下时间开始搜索索引: now-9m（日期数学格式，另请参见 附加回溯时间）

每次执行的最大警报数: 100

参考:

https://learn.microsoft.com/en-us/windows/wsl/wsl-config

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：防御规避
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：Sysmon

版本: 7

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南编辑

分类和分析

调查已安装适用于 Linux 发行版的 Windows 子系统

Windows 子系统适用于 Linux (WSL) 允许开发者安装 Linux 发行版（如 Ubuntu、OpenSUSE、Kali、Debian、Arch Linux 等），并直接在 Windows 上使用 Linux 应用程序、实用工具和 Bash 命令行工具，无需修改，且没有传统虚拟机或双启动设置的开销。攻击者可能滥用 WSL 绕过 Windows 主机上的安全保护，并执行各种攻击。

此规则通过注册表事件识别新安装的 Windows 子系统适用于 Linux 发行版。

可能的调查步骤

识别执行该操作的用户帐户，以及它是否应执行此类操作。
检查安装了哪个发行版。某些发行版（如 Kali Linux）可以促进环境的危害。
联系帐户所有者，并确认他们是否知道此活动。
调查过去 48 小时内与用户/主机关联的其他警报。
验证该活动是否与计划的补丁、更新、网络管理员活动或合法的软件安装无关。
通过查找主机之间的相似情况，评估此行为在环境中是否普遍存在。

误报分析

这是一个双用途工具，这意味着它的使用本质上并不是恶意的。如果管理员知道该活动，没有发现其他可疑活动，并且 WSL 发行版在环境中已获得认可和批准，则分析师可以忽略该警报。

相关规则

通过 Windows 子系统适用于 Linux 的主机文件系统更改 - e88d1fe9-b2f4-48d4-bace-a026dc745d4b
通过 Windows 子系统适用于 Linux 执行 - db7dbad5-08d2-4d25-b9b1-d3a1e4a15efd
通过 Windows 子系统适用于 Linux 的可疑执行 - 3e0eeb75-16e8-4f2f-9826-62461ca128b7
通过 Dism 实用工具启用的 Windows 子系统适用于 Linux - e2e0537d-7d8f-4910-a11d-559bcf61295a

响应和补救

根据分类结果启动事件响应流程。
隔离涉及的主机，以防止进一步的危害后行为。
运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他伪像、持久性机制和恶意软件组件。
调查受攻击者危害或使用的系统上的凭据泄露，以确保识别所有受危害的帐户。重置这些帐户以及其他可能受危害的凭据（如电子邮件、业务系统和网络服务）的密码。
确定攻击者滥用的初始媒介，并采取措施防止通过同一媒介重新感染。
使用事件响应数据，更新日志记录和审计策略，以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询编辑

registry where host.os.type == "windows" and
 registry.path :
       ("HK*\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Lxss\\*\\PackageFamilyName",
        "\\REGISTRY\\*\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Lxss\\*\\PackageFamilyName")

框架: MITRE ATT&CK^TM

策略
- 名称：防御规避
- ID：TA0005
- 参考网址：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：修改注册表
- ID：T1112
- 参考 URL：https://attack.mitre.org/techniques/T1112/
技术
- 名称：间接命令执行
- ID：T1202
- 参考 URL：https://attack.mitre.org/techniques/T1202/

« 通过异常客户端安装的 Windows 服务通过 Dism 实用程序启用的适用于 Linux 的 Windows 子系统 »