MITRE のエクスプロイト防止エキスパート ルール - FIN7/Carbanak
Articoli tecnici ID:
KB93828
Ultima modifica: 2021-02-14 11:04:40 Etc/GMT
Ultima modifica: 2021-02-14 11:04:40 Etc/GMT
Ambiente
McAfee Endpoint Security (ENS) 脅威対策 10.7.x
Riepilogo
これらのエクスプロイト防止エキスパート ルールは、さまざまな MITRE 攻撃手法から保護するために作成されました。 これらのルールは、次のようなお客様向けに設計されています。
エキスパート ルール コンテンツの有効化
エキスパート ルールを作成する手順については、Endpoint Security 10.7.x 製品ガイド の「エキスパート ルールの作成」セクションを参照してください。 McAfee では、これらのルールを「レポート」に「中」の重大度レベルでのみ追加することをお勧めします。
McAfee は、これらのルールを Windows 10 May 2020 Update の ENS 10.7.0 November 2020 Update でテストしました。 McAfee は、内部 McAfee 環境で誤検知についてこれらのルールをテストし、それに応じて除外が追加されました。 ただし、ご使用の環境で誤検知が発生した場合は、要件に合わせて除外を作成することをお勧めします。
エキスパート ルール
以下は、McAfee が環境に追加することを推奨する説明を含むルールのリストです。MITRE がカバーするテクニックの説明もあります。
#1MITRE テクニックの説明: T1089 – Fin7 のセキュリティ ツールを無効にする
攻撃者は、セキュリティ ツールを無効にして、ツールやアクティビティが検出されないようにする可能性があります。 このアクションには、次のものが含まれます。セキュリティ ソフトウェアまたはイベント ログ プロセスの強制終了。 実行時にツールが起動しないようにレジストリ キーを削除する。 またはセキュリティ スキャンやイベント レポートを妨害するその他の方法。
ルール名: T1089 – Disabling Security Tools - LSA Configuration Changes
ルールの説明:このルール トリガーは、認証情報ダンプのプリ カーソルであるリンク ステート アドバタイズ (LSA) 設定が変更された可能性を示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: レジストリ
ルール:
Rule {
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\System\\CurrentControlSet\\Control\\Lsa\\Notification Packages" }
Include -access "CREATE WRITE"
}
}
}
#2MITRE テクニックの説明: T1175 – Fin7 のコンポーネント オブジェクト モデルおよび分散 COM
COM は、ソフトウェア オブジェクト間の相互作用を可能にするネイティブ Windows アプリケーション プログラミング インターフェイス(API)のコンポーネント、または 1 つ以上のインターフェイスを実装する実行可能コードです。
攻撃者は、ローカル コマンドまたはペイロードの実行に COM を悪用する可能性があります。 攻撃者が悪用して、C、C++、Java、VBScript などのいくつかのプログラミング言語を介して任意の実行を呼び出すことができるいくつかの COM インターフェイスが公開されています。 特コードの実行以外の機能を直接実行するための特定の COM オブジェクトも存在します。 これらのオブジェクトには、スケジュールされたタスクの作成、ファイルなしのダウンロード/実行、および特権の昇格や永続性などの他の攻撃者の動作が含まれます。
攻撃者は横方向の動きに DCOM を使用する可能性があります。 DCOM は、既存のドキュメントでマクロを実行することもできます。また、悪意のあるドキュメントの必要性を回避して、COM で作成された Microsoft Office アプリケーションのインスタンスを介して Dynamic Data Exchange(DDE)の実行を直接呼び出すこともできます。
#2.1 Rule Name: T1175 – COM - Word.Application using PowerShell and Python
ルールの説明: このルール トリガーは、Python / PowerShell を介して Word アプリケーションを介してローカル/リモートでコードを実行するために Windows コンポーネント オブジェクトを悪用しようとする試みを示します。
ルール クラス: レジストリ
ルール:
Rule {
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "python.exe"
-v "python3.exe"
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.2 Rule Name: T1175 – COM - Word.Application using MSHTA - JScript and VBScript
ルールの説明: このルール トリガーは、JavaScript または VBScript を介して MSHTA を使用して COM オブジェクトを悪用しようとする試みを示します。
ルール クラス: レジストリ
ルール:
Rule {
Process {
Include OBJECT_NAME {
-v "mshta.exe"
}
Include DLL_LOADED -name "jscript9" { -v 0x1 }
Include DLL_LOADED -name "vbscript" { -v 0x1 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.3 Rule Name: T1175 – COM - WMI using PowerShell/WMIC/MSHTA/VBScript
ルールの説明:このルール トリガーは、PowerShell、WMIC、MSHTA、または VBScript を介して WMI を使用して COM オブジェクトを悪用しようとする試みを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: プロセス
ルール:
Rule {
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "mshta.exe"
-v "wscript.exe"
-v "cscript.exe"
}
Exclude PROCESS_CMD_LINE { -v "*McAfee\\MAR\\scripts\\*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "wmiutils.dll" }
}
}
}
#3MITRE テクニックの説明: T1138 – アプリケーション シミング
Microsoft Windows アプリケーション互換性インフラストラクチャ/フレーム ワーク(アプリケーション シム)は、オペレーティング システムのコード ベースが時間の経過とともに変化するときに、ソフトウェアの下位互換性を可能にします。 プログラムが実行されると、Shim キャッシュが参照され、プログラムで Shim データベース (.sdb ) を使用する必要があるかどうかが判断されます。 その場合、Shim データベースはフックを使用して、オペレーティング システムとの通信に必要なコードをリダイレクトします。
Shim を安全に保つために、Windows は、カーネルを変更できないようにユーザー モードで実行するように設計されており、Shim をインストールするには管理者権限が必要です。 ただし、特定の Shim を使用して、ユーザー アカウント制御(UAC)のバイパス(RedirectEXE)、プロセスへの DLL の挿入(InjectDLL)、データ実行防止(DisableNX)と構造体例外処理(DisableSEH)の無効化、メモリ アドレスのインターセプト(GetProcAddress)を行うことができます。 フックと同様に、これらの Shim を使用すると、攻撃者がアクセス許可の昇格、バックドアのインストール、Windows Defender などの防御の無効化などの悪意のある行為を実行できる可能性があります。
#3.1 Rule Name: T1138 – Application Shimming-Persistence using SDB file - Registry Access
ルールの説明: このルール トリガーは、レジストリ アクセスを介してアプリケーション シミングを悪用しようとする試みを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: レジストリ
ルール:
Rule {
Process {
Include OBJECT_NAME { -v "sdbinst.exe" }
}
Target {
Match KEY {
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Custom"
}
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\InstalledSDB"
}
Include -access "WRITE CREATE"
}
}
}
#3.2 Rule Name: T1138 – Application Shimming-Persistence using SDB File
ルールの説明: このルール トリガーは、PowerShell を介した SDB ファイルの作成と実行を通じてアプリケーション シミングを悪用しようとする試みを示します。
ルール クラス: プロセス
ルール:
Rule {
Process {
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "sdbinst.exe" }
Include -access "CREATE EXECUTE"
}
}
}
#4MITRE テクニックの説明: T1088 – ユーザー アカウント制御をバイパスする Fin7
Windows ユーザー アカウント制御(UAC)を使用すると、プログラムは、おそらくユーザーに確認を求めることにより、アクセス許可(低から高までの整合性レベルとして追跡)を昇格させ、管理者レベルのアクセス許可の下でタスクを実行できます。 ユーザーへの影響は、高度な強制の下での操作の拒否から、ユーザーがローカル管理者グループに属している場合にアクションを実行できるようにし、プロンプトをクリックするか、管理者パスワードを入力してアクションを完了することを許可することまで多岐にわたります。
例として、Rundll32 を使用して、自動昇格されたコンポーネント オブジェクト モデル オブジェクトをロードし、通常は昇格されたアクセスを必要とする保護されたディレクトリでファイル操作を実行する細工された DLL をロードします。 マルウェアが信頼できるプロセスに注入され、ユーザーにプロンプトを表示せずに昇格されたアクセス許可を取得する場合もあります。
ルール名: T1088 – BypassUAC-Sysprep DLL Hijack
ルールの説明: このルール トリガーは、システム DLL を乗っ取ってユーザー アカウント制御を回避しようとしていることを示します。
ルール クラス: プロセス
ルール:
Rule {
Process {
Include OBJECT_NAME { -v "sysprep.exe" }
Include CERT_NAME { -v "*Microsoft Corporation*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "cryptsp.dll" }
Include OBJECT_NAME { -v "cryptbase.dll" }
Include OBJECT_NAME { -v "RpcRtRemote.dll" }
Include OBJECT_NAME { -v "UxTheme.dll" }
Include OBJECT_NAME { -v "dwmapi.dll" }
Include OBJECT_NAME { -v "SHCORE.dll" }
Include OBJECT_NAME { -v "OLEACC.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptsp.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptbase.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\RpcRtRemote.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\UxTheme.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\dwmapi.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\SHCORE.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\OLEACC.dll" }
}
}
}
#5MITRE テクニックの説明: T1053 – FIN7 のスケジュールされたタスク
攻撃者は、Windows タスク スケジューラを悪用して、マルウェアの初期実行または繰り返し実行のタスク スケジューリングを実行する可能性があります。 Windows でタスク スケジューラにアクセスする方法は複数あります。 攻撃者は、Windows タスク スケジューラを使用して、システムの起動時または永続性のためにスケジュールに基づいてプログラムを実行する可能性があります。 Windows タスク スケジューラを悪用して、横方向の移動の一部としてリモート実行を実行したり、指定されたアカウント(SYSTEM など)のコンテキストでプロセスを実行したりすることもできます。
ルール名: T1053 – Scheduled Task for FIN7 usingschtask create/modify/delete
ルールの説明:このルール トリガーは、永続性と実行のためにタスク スケジューラ機能を悪用しようとしていることを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: プロセス
ルール:
Rule {
Process {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME { -v "WSQMCONS.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\McAfee\\**" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\McAfee\\**" }
Exclude PROCESS_CMD_LINE { -v "**\\McAfee\\MAR\\scripts\\**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "schtasks.exe" }
Include PROCESS_CMD_LINE { -v "*/create*" }
Include PROCESS_CMD_LINE { -v "*/delete*" }
Include PROCESS_CMD_LINE { -v "*/change*" }
Include -access "CREATE EXECUTE"
}
}
}
#6MITRE テクニックの説明: T1047 – FIN7 の Windows Management Instrumentation
Windows Management Instrumentation(WMI)は、Windows システム コンポーネントへのローカルおよびリモート アクセスのための統一された環境を提供する Windows 管理機能です。 WMI は、ローカル アクセスとリモート アクセスを WMI サービスに依存し、リモート アクセスをサーバー メッセージ ブロック(SMB)とリモート プロシージャ コール サービス(RPCS)に依存しています。
攻撃者は、WMI を使用してローカルおよびリモート システムと対話し、WMI を使用して、横方向の移動の一部としてファイルを検出およびリモート実行するための情報を収集するなど、多くの戦術機能を実行できます。
ルール名: T1047 – Execute a program using WMIC
ルールの説明:このルール トリガーは、永続性のために Windows Management Instrumentation 機能を悪用しようとしていることを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: プロセス
ルール:
Rule {
Target {
Match PROCESS {
Include DESCRIPTION { -v "WMI Commandline Utility" }
Include PROCESS_CMD_LINE { -v "* process */FORMAT:*" }
Include PROCESS_CMD_LINE { -v "* process *call *create *" }
Include -access "CREATE"
}
}
}
#7MITRE テクニックの説明: T1503 – Web ブラウザからの認証情報 - Chrome/Firefox/Opera の認証情報
攻撃者は、ターゲット ブラウザに固有のファイルを読み取ることにより、Web ブラウザから資格情報を取得する可能性があります。 Web ブラウザーは通常、Web サイトのユーザー名やパスワードなどの資格情報を保存するため、後で手動で入力する必要はありません。 Web ブラウザーは通常、資格情報を暗号化された形式で資格情報ストア内に保存します。 ただし、Web ブラウザからプレーン テキストの資格情報を抽出する方法は存在します。 攻撃者は、Web ブラウザのプロセス メモリで一般的に資格情報と一致するパターンを検索することによって資格情報を取得する場合もあります。 Web ブラウザから資格情報を取得した後、攻撃者はアクセスを拡大するために、さまざまなシステムまたはアカウント間で資格情報をリサイクルしようとする可能性があります。
ルール名: T1503 – Credentials from Web Browsers - Chrome/Firefox/Opera Credentials
ルールの説明:このルール トリガーは、ブラウザーに資格情報を保存するために使用されるファイルにアクセスしようとする試みを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: ファイル
ルール:
Rule {
Process {
Include AggregateMatch -xtype "not_excluded_path" {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME {
-v "**\\Google\\Chrome\\Application\\chrome.exe"
-v "**\\Mozilla Firefox\\firefox.exe"
-v "**\\Windows\\System32\\browserexport.exe"
-v "**\\chrome-win\\chrome.exe"
-v "**\\Microsoft\\Edge\\Application\\msedge.exe"
-v "**\\Opera\\*\\opera.exe"
-v "**\\Vivaldi\\Application\\vivaldi.exe"
-v "**\\Chromium\\Application\\chrome.exe"
-v "ir_agent.exe"
}
}
Include AggregateMatch -xtype "not_trusted" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*\\logins.json"
}
Include -access "READ WRITE DELETE RENAME"
}
}
}
#8MITRE テクニックの説明: T1060 – FIN7 のレジストリ実行キー / スタートアップ フォルダー
レジストリまたはスタートアップ フォルダの「実行キー」にエントリを追加すると、参照されるプログラムは、ユーザーがログインしたときに実行されます。 これらのプログラムは、ユーザーのコンテキストで実行され、アカウントに関連付けられたアクセス許可レベルがあります。
#8.1 Rule Name: T1060 – Registry autorun of .lnk/.vbs/.vba files
ルールの説明:このルール トリガーは、ユーザーのログオン時にプログラムを実行しようとする試みを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: レジストリ
ルール:
Rule {
Target {
Match VALUE {
Include OBJECT_NAME {
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKLM\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
}
Include REGVAL_DATA -type STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type EXPANDABLE_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type MULTI_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include -access "CREATE WRITE"
}
}
}
#8.2 Rule Name: T1060 – Startup Folder - Files in startup folders
ルールの説明:このルール トリガーは、スタートアップ フォルダーにファイルを作成しようとしていることを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: ファイル
ルール:
Rule {
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\**.exe" }
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\Start Menu\\Programs\\Startup\\**.exe" }
Include -access "CREATE"
}
}
}
#9MITRE テクニックの説明: T1204 – Fin7 のユーザー実行
攻撃者は、実行を得るためにユーザーによる特定のアクションに依存する可能性があります。 このアクションは、ユーザーがアイコンとドキュメント ファイルの明らかな拡張子を持つスピア フィッシング添付ファイルを介して配信された悪意のある実行可能ファイルを開いた場合など、コードの直接実行である可能性があります。 また、ユーザーがスピア フィッシングリンクを介して配信されたリンクをクリックすると、ブラウザの悪用やクライアント実行の悪用によるアプリケーションの脆弱性につながるなど、他の実行手法につながる可能性があります。 攻撃者は、.doc , .pdf , .xls , .rtf , .scr , .exe , .lnk , .pif , .cpl など、ユーザーがファイルを実行する必要のあるいくつかの種類のファイルを使用する可能性があります。
ルール名: T1204 – Payload execution through LNK file embedded in Office document
ルールの説明: このルール トリガーは、Word アプリケーションから.lnk ファイルを作成しようとしていることを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: ファイル
ルール:
Rule {
Process {
Include OBJECT_NAME { -v "winword.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\temp\\*.lnk" }
Include -access "CREATE"
}
}
}
#10MITRE テクニックの説明: T1003 – FIN7 の認証情報ダンプ
lsass.exe と相互作用する予期しないプロセスを監視します。 Mimikatz などの一般的な資格情報ダンパーは、プロセスを開き、LSA シークレット キーを見つけ、資格情報の詳細が格納されているメモリ内のセクションを復号化することにより、LSA サブ システム サービス(LSASS)プロセスにアクセスします。 資格情報ダンパーは、悪意のあるアクティビティの潜在的な指標を減らすために、リフレクティブ プロセス インジェクションのメソッドを使用する場合もあります。
#10.1 Rule Name: T1003 – Export SAM from registry or LSA Export Registry entry
ルールの説明:このルール トリガーは、レジストリから SAM をエクスポートしようとしていることを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: レジストリ
ルール:
Rule {
Process {
Include AggregateMatch -xtype "1" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Include AggregateMatch -xtype "2" {
Exclude OBJECT_NAME { -v "TIWORKER.EXE" }
Exclude OBJECT_NAME { -v "DEVICECENSUS.EXE" }
Exclude OBJECT_NAME { -v "TRUSTEDINSTALLER.EXE" }
Exclude OBJECT_NAME { -v "TASKHOSTW.EXE" }
Exclude OBJECT_NAME { -v "OMADMCLIENT.EXE" }
Exclude OBJECT_NAME { -v "SERVICES.EXE" }
Exclude OBJECT_NAME { -v "CSRSS.EXE" }
Exclude OBJECT_NAME { -v "SVCHOST.EXE" }
Exclude OBJECT_NAME { -v "WINLOGON.EXE" }
Exclude OBJECT_NAME { -v "SCHTASKS.EXE" }
Exclude OBJECT_NAME { -v "REGEDIT.EXE" }
Exclude OBJECT_NAME { -v "UpdateNotificationMgr.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\SAM" }
Include OBJECT_NAME { -v "HKLM\\SAM\\Domain\\Account" }
Include OBJECT_NAME { -v "HKLM\\SECURITY\\Policy\\Secrets"}
Include -access "READ"
}
}
}
#10.2 Rule Name: T1003 – Copy SAM file using Volume Shadow Copy Service tools
ルールの説明:このルール トリガーは、ボリューム シャドウ コピー サービス ツールを使用して SAM ファイルをコピーしようとしたことを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: ファイル
ルール:
Rule {
Process {
Include OBJECT_NAME { -v "esentutl.exe" }
Include DLL_LOADED -name "vssapi" { -v 0x1 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\system32\\config\\sam" }
Include -access "READ"
}
}
}
#11MITRE テクニックの説明: T1055 – プロセス挿入
攻撃者は、プロセスにコードを挿入して、プロセス ベースの防御を回避し、場合によっては権限を昇格させる可能性があります。 プロセス インジェクションは、別のライブ プロセスのアドレス空間で任意のコードを実行する方法です。 別のプロセスのコンテキストでコードを実行すると、プロセスのメモリ、システム/ネットワーク リソース、および場合によっては昇格されたアクセス許可へのアクセスが許可される場合があります。 プロセス インジェクションによる実行は、正当なプロセスの下で実行がマスクされるため、セキュリティ製品からの検出を回避する可能性もあります。
ルール名: T1055 –ODBCconf DLL injection - DefenseEvasion for FIN7
ルールの説明: このルール トリガーは、odbcconf.exe を悪用して悪意のある可能性のある DLL を挿入しようとしていることを示します。
ルール クラス: プロセス
ルール:
Rule {
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "odbcconf.exe" }
Include PROCESS_CMD_LINE { -v "*REGSVR*" }
Include PROCESS_CMD_LINE { -v "*-encodedcommand*" }
Include -access "CREATE"
}
}
}
#12MITRE テクニックの説明:T1569 – System Services: Service Execution
攻撃者は、システム サービスまたはデーモンを悪用してコマンドまたはプログラムを実行する可能性があります。 攻撃者は、サービスを操作または作成することにより、悪意のあるコンテンツを実行できます。 多くのサービスは起動時に実行されるように設定されており、永続性の実現(システム プロセスの作成または変更)に役立ちますが、攻撃者はサービスを悪用して 1 回限りまたは一時的に実行することもできます。
ルール名: T1569 – Service execution usingPSExec
ルールの説明: このルール トリガーは、名前付きパイプを使用して標準出力、入力、およびエラーを転送することにより、PSExec を悪用しようとする試みを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: ファイル
ルール:
Rule {
Process {
Include OBJECT_NAME {
-v *.exe
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**pipe\\psexesvc*"
}
Include OBJECT_NAME {
-v "**pipe\\remcom*"
}
Include OBJECT_NAME {
-v "**pipe\\PAExec*"
}
Include OBJECT_NAME {
-v "**pipe\\csexec*"
}
Include -access "CONNECT_NAMED_PIPE"
}
}
}
- 防御を強化したい。
- 微調整と監視が必要な機能を使用したい。
エキスパート ルール コンテンツの有効化
エキスパート ルールを作成する手順については、Endpoint Security 10.7.x 製品ガイド の「エキスパート ルールの作成」セクションを参照してください。 McAfee では、これらのルールを「レポート」に「中」の重大度レベルでのみ追加することをお勧めします。
McAfee は、これらのルールを Windows 10 May 2020 Update の ENS 10.7.0 November 2020 Update でテストしました。 McAfee は、内部 McAfee 環境で誤検知についてこれらのルールをテストし、それに応じて除外が追加されました。 ただし、ご使用の環境で誤検知が発生した場合は、要件に合わせて除外を作成することをお勧めします。
エキスパート ルール
以下は、McAfee が環境に追加することを推奨する説明を含むルールのリストです。
- T1089 - Fin7 のセキュリティ ツールを無効にする
- T1175 - Fin7 のコンポーネント オブジェクト モデルおよび分散 COM
- T1138 - アプリケーション シミング
- T1088 - ユーザー アカウント制御をバイパスする Fin7
- T1053 - FIN7 のスケジュール されたタスク
- T1047 - FIN7 の Windows Management Instrumentation
- T1503 - Web ブラウザーからの認証情報 - Chrome/Firefox/Opera の認証情報
- T1060 - FIN7 のレジストリ実行キー/スタートアップ フォルダー
- T1204 - Fin7 のユーザー実行
- T1003 - FIN7 の認証情報ダンプ
- T1055 - プロセス挿入
- T1569 - システム サービス: サービスの実行
#1
攻撃者は、セキュリティ ツールを無効にして、ツールやアクティビティが検出されないようにする可能性があります。 このアクションには、次のものが含まれます。セキュリティ ソフトウェアまたはイベント ログ プロセスの強制終了。 実行時にツールが起動しないようにレジストリ キーを削除する。 またはセキュリティ スキャンやイベント レポートを妨害するその他の方法。
ルール名: T1089 – Disabling Security Tools - LSA Configuration Changes
ルールの説明:このルール トリガーは、認証情報ダンプのプリ カーソルであるリンク ステート アドバタイズ (LSA) 設定が変更された可能性を示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: レジストリ
ルール:
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\System\\CurrentControlSet\\Control\\Lsa\\Notification Packages" }
Include -access "CREATE WRITE"
}
}
}
#2
COM は、ソフトウェア オブジェクト間の相互作用を可能にするネイティブ Windows アプリケーション プログラミング インターフェイス(API)のコンポーネント、または 1 つ以上のインターフェイスを実装する実行可能コードです。
攻撃者は、ローカル コマンドまたはペイロードの実行に COM を悪用する可能性があります。 攻撃者が悪用して、C、C++、Java、VBScript などのいくつかのプログラミング言語を介して任意の実行を呼び出すことができるいくつかの COM インターフェイスが公開されています。 特コードの実行以外の機能を直接実行するための特定の COM オブジェクトも存在します。 これらのオブジェクトには、スケジュールされたタスクの作成、ファイルなしのダウンロード/実行、および特権の昇格や永続性などの他の攻撃者の動作が含まれます。
攻撃者は横方向の動きに DCOM を使用する可能性があります。 DCOM は、既存のドキュメントでマクロを実行することもできます。また、悪意のあるドキュメントの必要性を回避して、COM で作成された Microsoft Office アプリケーションのインスタンスを介して Dynamic Data Exchange(DDE)の実行を直接呼び出すこともできます。
#2.1 Rule Name: T1175 – COM - Word.Application using PowerShell and Python
ルールの説明: このルール トリガーは、Python / PowerShell を介して Word アプリケーションを介してローカル/リモートでコードを実行するために Windows コンポーネント オブジェクトを悪用しようとする試みを示します。
ルール クラス: レジストリ
ルール:
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "python.exe"
-v "python3.exe"
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.2 Rule Name: T1175 – COM - Word.Application using MSHTA - JScript and VBScript
ルールの説明: このルール トリガーは、JavaScript または VBScript を介して MSHTA を使用して COM オブジェクトを悪用しようとする試みを示します。
ルール クラス: レジストリ
ルール:
Process {
Include OBJECT_NAME {
-v "mshta.exe"
}
Include DLL_LOADED -name "jscript9" { -v 0x1 }
Include DLL_LOADED -name "vbscript" { -v 0x1 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.3 Rule Name: T1175 – COM - WMI using PowerShell/WMIC/MSHTA/VBScript
ルールの説明:このルール トリガーは、PowerShell、WMIC、MSHTA、または VBScript を介して WMI を使用して COM オブジェクトを悪用しようとする試みを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: プロセス
ルール:
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "mshta.exe"
-v "wscript.exe"
-v "cscript.exe"
}
Exclude PROCESS_CMD_LINE { -v "*McAfee\\MAR\\scripts\\*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "wmiutils.dll" }
}
}
}
#3
Microsoft Windows アプリケーション互換性インフラストラクチャ/フレーム ワーク(アプリケーション シム)は、オペレーティング システムのコード ベースが時間の経過とともに変化するときに、ソフトウェアの下位互換性を可能にします。 プログラムが実行されると、Shim キャッシュが参照され、プログラムで Shim データベース (
Shim を安全に保つために、Windows は、カーネルを変更できないようにユーザー モードで実行するように設計されており、Shim をインストールするには管理者権限が必要です。 ただし、特定の Shim を使用して、ユーザー アカウント制御(UAC)のバイパス(RedirectEXE)、プロセスへの DLL の挿入(InjectDLL)、データ実行防止(DisableNX)と構造体例外処理(DisableSEH)の無効化、メモリ アドレスのインターセプト(GetProcAddress)を行うことができます。 フックと同様に、これらの Shim を使用すると、攻撃者がアクセス許可の昇格、バックドアのインストール、Windows Defender などの防御の無効化などの悪意のある行為を実行できる可能性があります。
#3.1 Rule Name: T1138 – Application Shimming-Persistence using SDB file - Registry Access
ルールの説明: このルール トリガーは、レジストリ アクセスを介してアプリケーション シミングを悪用しようとする試みを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: レジストリ
ルール:
Process {
Include OBJECT_NAME { -v "sdbinst.exe" }
}
Target {
Match KEY {
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Custom"
}
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\InstalledSDB"
}
Include -access "WRITE CREATE"
}
}
}
#3.2 Rule Name: T1138 – Application Shimming-Persistence using SDB File
ルールの説明: このルール トリガーは、PowerShell を介した SDB ファイルの作成と実行を通じてアプリケーション シミングを悪用しようとする試みを示します。
ルール クラス: プロセス
ルール:
Process {
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "sdbinst.exe" }
Include -access "CREATE EXECUTE"
}
}
}
#4
Windows ユーザー アカウント制御(UAC)を使用すると、プログラムは、おそらくユーザーに確認を求めることにより、アクセス許可(低から高までの整合性レベルとして追跡)を昇格させ、管理者レベルのアクセス許可の下でタスクを実行できます。 ユーザーへの影響は、高度な強制の下での操作の拒否から、ユーザーがローカル管理者グループに属している場合にアクションを実行できるようにし、プロンプトをクリックするか、管理者パスワードを入力してアクションを完了することを許可することまで多岐にわたります。
例として、Rundll32 を使用して、自動昇格されたコンポーネント オブジェクト モデル オブジェクトをロードし、通常は昇格されたアクセスを必要とする保護されたディレクトリでファイル操作を実行する細工された DLL をロードします。 マルウェアが信頼できるプロセスに注入され、ユーザーにプロンプトを表示せずに昇格されたアクセス許可を取得する場合もあります。
ルール名: T1088 – Bypass
ルールの説明: このルール トリガーは、システム DLL を乗っ取ってユーザー アカウント制御を回避しようとしていることを示します。
ルール クラス: プロセス
ルール:
Process {
Include OBJECT_NAME { -v "sysprep.exe" }
Include CERT_NAME { -v "*Microsoft Corporation*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "cryptsp.dll" }
Include OBJECT_NAME { -v "cryptbase.dll" }
Include OBJECT_NAME { -v "RpcRtRemote.dll" }
Include OBJECT_NAME { -v "UxTheme.dll" }
Include OBJECT_NAME { -v "dwmapi.dll" }
Include OBJECT_NAME { -v "SHCORE.dll" }
Include OBJECT_NAME { -v "OLEACC.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptsp.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptbase.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\RpcRtRemote.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\UxTheme.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\dwmapi.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\SHCORE.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\OLEACC.dll" }
}
}
}
#5
攻撃者は、Windows タスク スケジューラを悪用して、マルウェアの初期実行または繰り返し実行のタスク スケジューリングを実行する可能性があります。 Windows でタスク スケジューラにアクセスする方法は複数あります。 攻撃者は、Windows タスク スケジューラを使用して、システムの起動時または永続性のためにスケジュールに基づいてプログラムを実行する可能性があります。 Windows タスク スケジューラを悪用して、横方向の移動の一部としてリモート実行を実行したり、指定されたアカウント(SYSTEM など)のコンテキストでプロセスを実行したりすることもできます。
ルール名: T1053 – Scheduled Task for FIN7 using
ルールの説明:このルール トリガーは、永続性と実行のためにタスク スケジューラ機能を悪用しようとしていることを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: プロセス
ルール:
Process {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME { -v "WSQMCONS.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\McAfee\\**" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\McAfee\\**" }
Exclude PROCESS_CMD_LINE { -v "**\\McAfee\\MAR\\scripts\\**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "schtasks.exe" }
Include PROCESS_CMD_LINE { -v "*/create*" }
Include PROCESS_CMD_LINE { -v "*/delete*" }
Include PROCESS_CMD_LINE { -v "*/change*" }
Include -access "CREATE EXECUTE"
}
}
}
#6
Windows Management Instrumentation(WMI)は、Windows システム コンポーネントへのローカルおよびリモート アクセスのための統一された環境を提供する Windows 管理機能です。 WMI は、ローカル アクセスとリモート アクセスを WMI サービスに依存し、リモート アクセスをサーバー メッセージ ブロック(SMB)とリモート プロシージャ コール サービス(RPCS)に依存しています。
攻撃者は、WMI を使用してローカルおよびリモート システムと対話し、WMI を使用して、横方向の移動の一部としてファイルを検出およびリモート実行するための情報を収集するなど、多くの戦術機能を実行できます。
ルール名: T1047 – Execute a program using WMIC
ルールの説明:このルール トリガーは、永続性のために Windows Management Instrumentation 機能を悪用しようとしていることを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: プロセス
ルール:
Target {
Match PROCESS {
Include DESCRIPTION { -v "WMI Commandline Utility" }
Include PROCESS_CMD_LINE { -v "* process */FORMAT:*" }
Include PROCESS_CMD_LINE { -v "* process *call *create *" }
Include -access "CREATE"
}
}
}
#7
攻撃者は、ターゲット ブラウザに固有のファイルを読み取ることにより、Web ブラウザから資格情報を取得する可能性があります。 Web ブラウザーは通常、Web サイトのユーザー名やパスワードなどの資格情報を保存するため、後で手動で入力する必要はありません。 Web ブラウザーは通常、資格情報を暗号化された形式で資格情報ストア内に保存します。 ただし、Web ブラウザからプレーン テキストの資格情報を抽出する方法は存在します。 攻撃者は、Web ブラウザのプロセス メモリで一般的に資格情報と一致するパターンを検索することによって資格情報を取得する場合もあります。 Web ブラウザから資格情報を取得した後、攻撃者はアクセスを拡大するために、さまざまなシステムまたはアカウント間で資格情報をリサイクルしようとする可能性があります。
ルール名: T1503 – Credentials from Web Browsers - Chrome/Firefox/Opera Credentials
ルールの説明:このルール トリガーは、ブラウザーに資格情報を保存するために使用されるファイルにアクセスしようとする試みを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: ファイル
ルール:
Process {
Include AggregateMatch -xtype "not_excluded_path" {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME {
-v "**\\Google\\Chrome\\Application\\chrome.exe"
-v "**\\Mozilla Firefox\\firefox.exe"
-v "**\\Windows\\System32\\browserexport.exe"
-v "**\\chrome-win\\chrome.exe"
-v "**\\Microsoft\\Edge\\Application\\msedge.exe"
-v "**\\Opera\\*\\opera.exe"
-v "**\\Vivaldi\\Application\\vivaldi.exe"
-v "**\\Chromium\\Application\\chrome.exe"
-v "ir_agent.exe"
}
}
Include AggregateMatch -xtype "not_trusted" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*\\logins.json"
}
Include -access "READ WRITE DELETE RENAME"
}
}
}
#8
レジストリまたはスタートアップ フォルダの「実行キー」にエントリを追加すると、参照されるプログラムは、ユーザーがログインしたときに実行されます。 これらのプログラムは、ユーザーのコンテキストで実行され、アカウントに関連付けられたアクセス許可レベルがあります。
#8.1 Rule Name: T1060 – Registry autorun of .lnk/.vbs/.vba files
ルールの説明:このルール トリガーは、ユーザーのログオン時にプログラムを実行しようとする試みを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: レジストリ
ルール:
Target {
Match VALUE {
Include OBJECT_NAME {
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKLM\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
}
Include REGVAL_DATA -type STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type EXPANDABLE_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type MULTI_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include -access "CREATE WRITE"
}
}
}
#8.2 Rule Name: T1060 – Startup Folder - Files in startup folders
ルールの説明:このルール トリガーは、スタートアップ フォルダーにファイルを作成しようとしていることを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: ファイル
ルール:
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\**.exe" }
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\Start Menu\\Programs\\Startup\\**.exe" }
Include -access "CREATE"
}
}
}
#9
攻撃者は、実行を得るためにユーザーによる特定のアクションに依存する可能性があります。 このアクションは、ユーザーがアイコンとドキュメント ファイルの明らかな拡張子を持つスピア フィッシング添付ファイルを介して配信された悪意のある実行可能ファイルを開いた場合など、コードの直接実行である可能性があります。 また、ユーザーがスピア フィッシングリンクを介して配信されたリンクをクリックすると、ブラウザの悪用やクライアント実行の悪用によるアプリケーションの脆弱性につながるなど、他の実行手法につながる可能性があります。 攻撃者は、
ルール名: T1204 – Payload execution through LNK file embedded in Office document
ルールの説明: このルール トリガーは、Word アプリケーションから
ルール クラス: ファイル
ルール:
Process {
Include OBJECT_NAME { -v "winword.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\temp\\*.lnk" }
Include -access "CREATE"
}
}
}
#10
#10.1 Rule Name: T1003 – Export SAM from registry or LSA Export Registry entry
ルールの説明:このルール トリガーは、レジストリから SAM をエクスポートしようとしていることを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: レジストリ
ルール:
Process {
Include AggregateMatch -xtype "1" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Include AggregateMatch -xtype "2" {
Exclude OBJECT_NAME { -v "TIWORKER.EXE" }
Exclude OBJECT_NAME { -v "DEVICECENSUS.EXE" }
Exclude OBJECT_NAME { -v "TRUSTEDINSTALLER.EXE" }
Exclude OBJECT_NAME { -v "TASKHOSTW.EXE" }
Exclude OBJECT_NAME { -v "OMADMCLIENT.EXE" }
Exclude OBJECT_NAME { -v "SERVICES.EXE" }
Exclude OBJECT_NAME { -v "CSRSS.EXE" }
Exclude OBJECT_NAME { -v "SVCHOST.EXE" }
Exclude OBJECT_NAME { -v "WINLOGON.EXE" }
Exclude OBJECT_NAME { -v "SCHTASKS.EXE" }
Exclude OBJECT_NAME { -v "REGEDIT.EXE" }
Exclude OBJECT_NAME { -v "UpdateNotificationMgr.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\SAM" }
Include OBJECT_NAME { -v "HKLM\\SAM\\Domain\\Account" }
Include OBJECT_NAME { -v "HKLM\\SECURITY\\Policy\\Secrets"}
Include -access "READ"
}
}
}
#10.2 Rule Name: T1003 – Copy SAM file using Volume Shadow Copy Service tools
ルールの説明:このルール トリガーは、ボリューム シャドウ コピー サービス ツールを使用して SAM ファイルをコピーしようとしたことを示します。 このルールは、監視 / テレメトリ用です。 お客様は、ご使用の環境で使用されている認証アプリケーションに合わせてルールを微調整するか、誤検知が多すぎる場合は署名を無効にすることをお勧めします。
ルール クラス: ファイル
ルール:
Process {
Include OBJECT_NAME { -v "esentutl.exe" }
Include DLL_LOADED -name "vssapi" { -v 0x1 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\system32\\config\\sam" }
Include -access "READ"
}
}
}
#11
攻撃者は、プロセスにコードを挿入して、プロセス ベースの防御を回避し、場合によっては権限を昇格させる可能性があります。 プロセス インジェクションは、別のライブ プロセスのアドレス空間で任意のコードを実行する方法です。 別のプロセスのコンテキストでコードを実行すると、プロセスのメモリ、システム/ネットワーク リソース、および場合によっては昇格されたアクセス許可へのアクセスが許可される場合があります。 プロセス インジェクションによる実行は、正当なプロセスの下で実行がマスクされるため、セキュリティ製品からの検出を回避する可能性もあります。
ルール名: T1055 –
ルールの説明: このルール トリガーは、
ルール クラス: プロセス
ルール:
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "odbcconf.exe" }
Include PROCESS_CMD_LINE { -v "*REGSVR*" }
Include PROCESS_CMD_LINE { -v "*-encodedcommand*" }
Include -access "CREATE"
}
}
}
#12
攻撃者は、システム サービスまたはデーモンを悪用してコマンドまたはプログラムを実行する可能性があります。 攻撃者は、サービスを操作または作成することにより、悪意のあるコンテンツを実行できます。 多くのサービスは起動時に実行されるように設定されており、永続性の実現(システム プロセスの作成または変更)に役立ちますが、攻撃者はサービスを悪用して 1 回限りまたは一時的に実行することもできます。
ルール名: T1569 – Service execution using
ルールの説明: このルール トリガーは、名前付きパイプを使用して標準出力、入力、およびエラーを転送することにより、
ルール クラス: ファイル
ルール:
Process {
Include OBJECT_NAME {
-v *.exe
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**pipe\\psexesvc*"
}
Include OBJECT_NAME {
-v "**pipe\\remcom*"
}
Include OBJECT_NAME {
-v "**pipe\\PAExec*"
}
Include OBJECT_NAME {
-v "**pipe\\csexec*"
}
Include -access "CONNECT_NAMED_PIPE"
}
}
}
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: