добавлено правило обнаружения дампа lsass.exe путем использования функционала comsvc.dll - Githubissues

Security-Experts-Community / open-xp-rules

Открытый репозиторий с правилами на языке eXtraction and Processing (XP)

Apache License 2.0

20 stars 44 forks source link

добавлено правило обнаружения дампа lsass.exe путем использования функционала comsvc.dll #419

Closed d3f0x0 closed 2 months ago

d3f0x0 commented 2 months ago

Добавлено правило корреляции Memdump_comsvc_minidump

Resolve #46

Правило основанно на 3х событиях:

Create_process_rundll - выполнение функции MiniDump. Регулярное выражение (comsvcs)(.dll)?\W+(minidumpw?|#+?24|#-4294967272) обнаруживает использование:
- comsvc
- comsvc.dll
- minidump
- \24
- +24
- -4294967272
Create_file - создание файла процессом rundll32
Access_to_process - получение доступа к процессу