search

Security-Experts-Community / open-xp-rules

Открытый репозиторий с правилами на языке eXtraction and Processing (XP)
Apache License 2.0
20 stars 44 forks source link

Suspicious Microsoft Office Child Process detection rule #432

Open driverenok opened 3 months ago

driverenok commented 3 months ago

Детект создания дочернего процесса приложением MS Office. Правило основано на публикации Снова пропустили момент запуска фишингового вложения?

Перечень процессов MS Office:

"winword.exe", "excel.exe", "powerpnt.exe", "visio.exe", "mspub.exe", "eqnedt32.exe", "outlook.exe", "eqnedt32.exe", "msosync.exe", "msaccess.exe", "onenote.exe", "winproj.exe", "wordpad.exe", "wordview.exe"
aw350m33d commented 3 months ago

Нужно добавить ТС с легитимными дочерними процессами, иначе будет много ложных сработок. Я уже сформировал часть такого списка. Залью апдейт)