Добавлены правила для обнаружения vssadmin, wbadmin, bcdedit через запуск процесса

Security-Experts-Community / open-xp-rules

Открытый репозиторий с правилами на языке eXtraction and Processing (XP)

Apache License 2.0

20 stars 44 forks source link

Добавлены правила для обнаружения vssadmin, wbadmin, bcdedit через запуск процесса #346

Closed arssing closed 4 months ago

arssing commented 1 year ago

Добавлены правила для обнаружения vssadmin, wbadmin, bcdedit через запуск процесса. Mitre T1490

aw350m33d commented 1 year ago

Привет! В правилах не проверяются параметры запуска утилит. Не любой запуск будет относиться к тактике Impact.

Ты бы мог добавить в условия выявление запуска с нужными параметрами, чтобы детекты были более точными?

arssing commented 1 year ago

Привет!

Немного изменил правила, чтобы обнаруживались утилиты с основными параметрами. Для bcdedit добавил только детект команд из мitre T1490, возможно, стоит рассмотреть больше параметров для обнаружения этой утилиты.