Closed YamatoSecurity closed 1 year ago
@YamatoSecurity 確認用のデータがありましたら提供いただけますでしょうか?
hayabusa-sample-evtx/EVTX-ATTACK-SAMPLES/Privilege Escalation/privesc_unquoted_svc_sysmon_1_11.evtx
で検証できます。
OriginalFileName: Cmd.Exe
Image: C:\program.exe
メモ
2.ができれば以下のようなルールで対応できるようになるはず
filter:
Image|re: ".*%OriginalFileName%"
condition: not filter
Sysmon 10+では、Sysmon EID 1 のプロセス作成イベントにファイルのPEヘッダーに書いてあるコンパイル時のファイル名(OriginalFilename)を記録してくれます。 攻撃者がlolbin攻撃で正常のバイナリを別のファイル名に変更する場合があるので、それを検知したいです。 最初は
|equalsfield
でできると思っていましたが、現在のファイル名(Proc/Imageフィールド)がフルパスなので、使えません。 例:のようなルールを書きたいです。そうすると、
mshelper.exe
に名前変更されたpsexec.exe
を検知できます。 ※大文字小文字が一致しない場合が多いので、大文字小文字を区別しないように実装する必要があります。参考: https://medium.com/@olafhartong/sysmon-10-0-new-features-and-changes-e82106f2e00