Le but est de détecter une exécution de commande en base64 dans powershell.
index=*
source="WinEventLog:Security"
"EventCode=4104" CommandLine="powershell.exe"
| regex CommandLine="powershell.exe\s(?:-encodedCommand\s(?[A-Za-z0-9+/=]+))" : ici on utilise des événements associés au processus PowerShell et une expression régulière (regex) pour extraire les commandes encodées en base64 à partir de l'argument -encodedCommand de PowerShel
index= source="WinEventLog:Sysmon" "EventCode=1"
| search Image="\powershell.exe" (cmdline=" -NoP -sta -NonI -W Hidden -Enc" OR cmdline=" -noP -sta -w 1 -enc " OR cmdline=" -NoP -NonI -W Hidden -enc " OR cmdline=" -noP -sta -w 1 -enc " OR cmdline=" -enc SQB " OR cmdline=" -nop -exec bypass -EncodedCommand ")
| table _time Computer User cmdline
Cette requête vise à identifier les événements Sysmon associés à l'exécution de PowerShell avec l'ID d'événements Sysmon 1 lié à la création de processus.
Cette requête:
_Filtre pour les ID d'événement 1 de Sysmon
_Recherche dans le champ Image du chemin d'accès au fichier powershell.exe.
_Filtre le champ cmdline pour les paramètres de ligne de commande PowerShell suspects utilisés par Empire (voir la règle sigma ci-dessus).
_Produit les paramètres cmdline dans un tableau, y compris l'heure, l'ordinateur et l'utilisateur associés.
index= (source="WinEventLog:Sysmon" OR source="WinEventLog:Security") ("EventCode=1" OR "EventCode=4688")
Image="\powershell.exe"
(cmdline="-EncodedCommand " OR cmdline="-enc " OR cmdline="-e ")
| table _time Computer User CommandLine ParentCommandLine
Cette requête recherche les événements dans l'index spécifié (remplacez "votre_index" par le nom de votre index) pour les journaux d'événements Windows ou Sysmon. Elle se concentre sur les événements associés à l'exécution de PowerShell (Image="\powershell.exe") et filtre les commandes PowerShell utilisant des motifs associés à l'exécution de commandes encodées en base64 (cmdline="-EncodedCommand " ou cmdline="-enc " ou cmdline="-e *").
EventCode=1 : correspond généralement à la création de processus sous Sysmon.
EventCode=4688 : est associé à la création de processus sous les journaux d'événements de sécurité Windows.
La requête affiche ensuite dans un tableau des informations telles que l'heure de l'événement (_time), le nom de l'ordinateur (Computer), le nom de l'utilisateur (User), la ligne de commande PowerShell (CommandLine) et éventuellement la ligne de commande parent (ParentCommandLine), ce qui peut être utile pour comprendre le contexte de l'exécution de la commande PowerShell encodée en base64.
Le but est de détecter une exécution de commande en base64 dans powershell. index=* source="WinEventLog:Security" "EventCode=4104" CommandLine="powershell.exe" | regex CommandLine="powershell.exe\s(?:-encodedCommand\s(?[A-Za-z0-9+/=]+))" : ici on utilise des événements associés au processus PowerShell et une expression régulière (regex) pour extraire les commandes encodées en base64 à partir de l'argument -encodedCommand de PowerShel
index= source="WinEventLog:Sysmon" "EventCode=1" | search Image="\powershell.exe" (cmdline=" -NoP -sta -NonI -W Hidden -Enc" OR cmdline=" -noP -sta -w 1 -enc " OR cmdline=" -NoP -NonI -W Hidden -enc " OR cmdline=" -noP -sta -w 1 -enc " OR cmdline=" -enc SQB " OR cmdline=" -nop -exec bypass -EncodedCommand ") | table _time Computer User cmdline
Cette requête vise à identifier les événements Sysmon associés à l'exécution de PowerShell avec l'ID d'événements Sysmon 1 lié à la création de processus. Cette requête: _Filtre pour les ID d'événement 1 de Sysmon _Recherche dans le champ Image du chemin d'accès au fichier powershell.exe. _Filtre le champ cmdline pour les paramètres de ligne de commande PowerShell suspects utilisés par Empire (voir la règle sigma ci-dessus). _Produit les paramètres cmdline dans un tableau, y compris l'heure, l'ordinateur et l'utilisateur associés.
index= (source="WinEventLog:Sysmon" OR source="WinEventLog:Security") ("EventCode=1" OR "EventCode=4688") Image="\powershell.exe" (cmdline="-EncodedCommand " OR cmdline="-enc " OR cmdline="-e ") | table _time Computer User CommandLine ParentCommandLine
Cette requête recherche les événements dans l'index spécifié (remplacez "votre_index" par le nom de votre index) pour les journaux d'événements Windows ou Sysmon. Elle se concentre sur les événements associés à l'exécution de PowerShell (Image="\powershell.exe") et filtre les commandes PowerShell utilisant des motifs associés à l'exécution de commandes encodées en base64 (cmdline="-EncodedCommand " ou cmdline="-enc " ou cmdline="-e *").
EventCode=1 : correspond généralement à la création de processus sous Sysmon. EventCode=4688 : est associé à la création de processus sous les journaux d'événements de sécurité Windows. La requête affiche ensuite dans un tableau des informations telles que l'heure de l'événement (_time), le nom de l'ordinateur (Computer), le nom de l'utilisateur (User), la ligne de commande PowerShell (CommandLine) et éventuellement la ligne de commande parent (ParentCommandLine), ce qui peut être utile pour comprendre le contexte de l'exécution de la commande PowerShell encodée en base64.