MITRE 的漏洞利用防护专家规则 - FIN7/Carbanak
技术文章 ID:
KB93828
上次修改时间: 2023-06-09 12:44:26 Etc/GMT
上次修改时间: 2023-06-09 12:44:26 Etc/GMT
环境
Endpoint Security (ENS)威胁防护 10.7.x
摘要
这些漏洞利用防护专家规则旨在防止一系列 MITRE 攻击技术。这些规则是为满足以下条件的客户设计的:
启用专家规则内容
有关创建专家规则的说明,请参阅 Endpoint Security 10.7.x 产品指南的“创建专家规则”部分。我们建议仅在严重性级别为“中”的“报告”中添加这些规则。
我们使用 ENS 10.7.0 2020 年 11 月更新在 Windows 2020 年 5 月 10 日更新上测试了这些规则。我们还在内部环境中测试了这些规则是否存在误报,并相应地添加了排除项。但是,如果您的环境中出现误报,我们建议您创建排除项以满足您的要求。
专家规则
以下是我们建议添加到您的环境中的规则列表,包括描述。还有对它们所涵盖的MITRE 技术的解释。
#1MITRE 技术说明: T1089 – 禁用 Fin7 的安全工具
攻击者可能会禁用安全工具以避免可能检测到他们的工具和活动。此操作可能包括终止安全软件或事件记录进程;删除注册表项,以便工具不会在运行时启动;或其他干扰安全扫描或事件报告的方法。
规则名称: T1089 – 禁用安全工具 - 链接状态通告 (LSA) 配置更改
规则描述: 此规则触发器表示尝试修改 LSA 配置,这是凭证转储的前兆。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的身份验证应用程序,或者如果误报过多,则禁用特征码。
规则类别: 注册表
规则:
Rule {
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\System\\CurrentControlSet\\Control\\Lsa\\Notification Packages" }
Include -access "CREATE WRITE"
}
}
}
#2MITRE 技术说明: T1559.001 – 进程间通信:Fin7 的组件对象模型
实现一个或多个接口。
查询可能会滥用 COM 执行本地命令或负载。 多个 COM 接口都面临风险,这些应用程序可能滥用于通过多种编程语言(如 C、C++、Java 和 VBScript)调用任意执行。 此外,存在特定的 COM 对象,以直接执行代码执行以外的功能。 这些对象包括计划任务创建、无文件下载/执行和其他计划行为,例如 权限升级 和 Persistence 。
#2.1 Rule Name: T1559.001 – COM - Word.Application 使用 PowerShell 和 Python
规则说明: 此规则触发器表示试图通过 Python 或 PowerShell 通过 Word 应用程序在本地或远程滥用 Windows 组件对象执行代码。
规则类别: 注册表
规则:
Rule {
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "python.exe"
-v "python3.exe"
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.2 Rule Name: T1559.001 – COM - Word.Application 使用 MSHTA - JScript 和 VBScript
规则描述: 此规则触发器表示试图通过 JavaScript 或 VBScript 使用 MSHTA 滥用 COM 对象。
规则类别: 注册表
规则:
Rule {
Process {
Include OBJECT_NAME {
-v "mshta.exe"
}
Include DLL_LOADED -name "jscript9" { -v 0x1 }
Include DLL_LOADED -name "vbscript" { -v 0x1 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.3 Rule Name: T1559.001 – COM -WMI 使用 PowerShell/WMIC/MSHTA/VBScript
规则说明: 此规则触发器表示尝试通过 PowerShell、WMIC、MSHTA 或 VBScript 使用 WMI 滥用 COM 对象。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 进程
规则:
Rule {
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "mshta.exe"
-v "wscript.exe"
-v "cscript.exe"
}
Include AggregateMatch -xtype "ex1" {
Exclude PROCESS_CMD_LINE { -v "*McAfee\\MAR\\scripts\\*" }
}
Include AggregateMatch -xtype "ex2" {
Exclude PROCESS_CMD_LINE { -v "** **\\Windows\\Temp\"\\lsusers.vbs" }
}
Include AggregateMatch -xtype "ex3" {
Exclude PROCESS_CMD_LINE { -v "*Windows\\Temp\\lsusers.vbs*" }
}
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "wmiutils.dll" }
}
}
}
#3MITRE 技术 说明: T1138 – Application Shimming
Microsoft Windows 应用程序兼容性基础结构或框架(Application Shim)允许在操作系统代码库随时间变化时向后兼容软件。当程序执行时,会参考Shim缓存来判断程序是否需要使用Shim数据库(.sdb )。如果需要,填充码数据库会使用挂接重定向代码,以与操作系统进行通信。
为了保证 Shims 的安全,Windows 将它们设计为在用户模式下运行,因此它们无法修改内核,并且您必须具有管理员权限才能安装 Shim。但是,某些填充码可用于绕过用户帐户控制 (UAC) (UAC))、将 DLL 注入到进程 (InjectDDL)、禁用数据执行保护 (DisableNX) 和结构例外处理 (DisableSEH) 以及拦截内存地址 (GetProcAddress)。 与挂接类似,使用这些填充码可能会允许利用这些填充码执行若干恶意操作,例如填充项权限、安装后门程序以及禁用 Windows Defender 等防御。
#3.1 Rule Name: T1138 – 使用 SDB 文件的应用程序 Shimming-Persistence - 注册表访问
规则 描述: 此规则触发器表示试图通过注册表访问滥用应用程序 shimming。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 注册表
规则:
Rule {
Process {
Include OBJECT_NAME { -v "sdbinst.exe" }
}
Target {
Match KEY {
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Custom"
}
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\InstalledSDB"
}
Include -access "WRITE CREATE"
}
}
}
#3.2 Rule Name: T1138 – 使用 SDB 文件的应用程序 Shimming-Persistence
规则描述: 此规则触发器表示试图通过 PowerShell 创建和执行 SDB 文件来滥用应用程序 shimming。
规则类别: 进程
规则:
Rule {
Process {
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "sdbinst.exe" }
Include -access "CREATE EXECUTE"
}
}
}
#4MITRE 技术 说明: T1088 – 绕过 UAC Fin7
Windows UAC 允许程序提升其权限(跟踪为从低到高的完整性级别)以在管理员级别权限下执行任务,可能通过提示用户进行确认。对用户的影响范围很广,从在高度强制下拒绝操作,到允许用户执行操作(如果他们在本地管理员组中并单击提示),或者允许他们输入管理员密码以完成操作。
例如,使用 Runddl32 加载精心设计的 DLL,该 DLL 加载自动升级的 组件对象型号 对象,然后在通常需要提升访问的受保护目录中执行文件操作。 恶意软件也可能注入到受信任的进程中,以提升权限,而无需提示用户。
规则名称: T1088 – BypassUAC-Sysprep DLL Hijack
规则说明: 此规则触发器表示试图通过劫持系统 DLL 来绕过用户帐户控制。
规则类别: 进程
规则:
Rule {
Process {
Include OBJECT_NAME { -v "sysprep.exe" }
Include CERT_NAME { -v "*Microsoft Corporation*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "cryptsp.dll" }
Include OBJECT_NAME { -v "cryptbase.dll" }
Include OBJECT_NAME { -v "RpcRtRemote.dll" }
Include OBJECT_NAME { -v "UxTheme.dll" }
Include OBJECT_NAME { -v "dwmapi.dll" }
Include OBJECT_NAME { -v "SHCORE.dll" }
Include OBJECT_NAME { -v "OLEACC.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptsp.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptbase.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\RpcRtRemote.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\UxTheme.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\dwmapi.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\SHCORE.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\OLEACC.dll" }
}
}
}
#5MITRE 技术 说明: T1053 – FIN7 的计划任务
攻击者可能会滥用 Windows 任务计划程序来为恶意软件的初始或重复执行执行任务计划。有多种方法可以访问 Windows 中的任务计划程序。 查询可能使用 Windows 任务计划程序在系统启动时或按计划按计划执行程序进行持久性。 Windows 任务计划程序也可受到滥用,以执行远程执行(作为"改进部分"的一部分),或根据指定帐户(例如 SYSTEM)的上下文运行进程。
规则名称: T1053 – FIN7 的计划任务使用schtask 创建/修改/删除
规则描述: 此规则触发器表示试图滥用任务计划程序功能以实现持久性和执行。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 进程
规则:
Rule {
Process {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME { -v "WSQMCONS.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\McAfee\\**" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\McAfee\\**" }
Exclude PROCESS_CMD_LINE { -v "**\\McAfee\\MAR\\scripts\\**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "schtasks.exe" }
Include PROCESS_CMD_LINE { -v "*/create*" }
Include PROCESS_CMD_LINE { -v "*/delete*" }
Include PROCESS_CMD_LINE { -v "*/change*" }
Include -access "CREATE EXECUTE"
}
}
}
#6MITRE 技术 说明: T1047 – Windows Management Instrumentation (WMI) for FIN7
WMI 是一种 Windows 管理功能,它为本地和远程访问 Windows 系统组件提供统一的环境。WMI 依靠 WMI 服务进行本地和远程访问,并且通过服务器消息块 (SMB) 和远程过程调用服务 (RPCS) 进行远程访问。
一个查询可以使用 WMI 与本地和远程系统进行交互,并使用它执行许多查询功能,例如,收集信息,以发现和远程执行文件,作为横向移动的一部分。
规则名称: T1047 – 使用 WMIC
规则说明执行程序: 此规则触发器表示试图滥用 WMI 功能以实现持久性。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 进程
规则:
Rule {
Target {
Match PROCESS {
Include DESCRIPTION { -v "WMI Commandline Utility" }
Include PROCESS_CMD_LINE { -v "* process */FORMAT:*" }
Include PROCESS_CMD_LINE { -v "* process *call *create *" }
Include -access "CREATE"
}
}
}
#7MITRE 技术 说明: T1503 – 来自 Web 浏览器的凭证 - Chrome/Firefox/Opera 凭证
攻击者可能通过读取特定于目标浏览器的文件从 Web 浏览器获取凭证。Web 浏览器通常会保存网站用户名和密码等凭据,以便将来无需手动输入。Web 浏览器通常以加密格式将凭据存储在凭据存储中。 但是,存在从 Web 浏览器提取纯文本凭据的方法。 对于与凭据经常匹配的模式,查询 Web 浏览器进程内存也可获取凭据。 从 Web 浏览器获取凭据后,浏览器可能会尝试回收不同系统或帐户之间的凭据,以展开访问。
规则名称: T1503 - 来自 Web 浏览器的凭据 - Chrome/Firefox/Opera 凭据
规则描述: 此规则触发指示尝试访问用于在浏览器中存储凭据的文件。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 文件
规则:
Rule {
Process {
Include AggregateMatch -xtype "not_excluded_path" {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME {
-v "**\\Google\\Chrome\\Application\\chrome.exe"
-v "**\\Mozilla Firefox\\firefox.exe"
-v "**\\Windows\\System32\\browserexport.exe"
-v "**\\chrome-win\\chrome.exe"
-v "**\\Microsoft\\Edge\\Application\\msedge.exe"
-v "**\\Opera\\*\\opera.exe"
-v "**\\Vivaldi\\Application\\vivaldi.exe"
-v "**\\Chromium\\Application\\chrome.exe"
-v "ir_agent.exe"
}
}
Include AggregateMatch -xtype "not_trusted" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*\\logins.json"
}
Include -access "READ WRITE DELETE RENAME"
}
}
}
#8MITRE 技术说明: T1060 – FIN7 的注册表运行键/启动文件夹
向注册表或启动文件夹中的“运行键”添加条目会导致在用户登录时执行引用的程序。这些程序在用户上下文中执行并且具有帐户关联的权限级别。
#8.1 Rule Name: T1060 –.lnk/.vbs/.vba 文件的注册表自动运行
规则说明: 此规则触发器表示尝试在用户登录时执行程序。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 注册表
规则:
Rule {
Target {
Match VALUE {
Include OBJECT_NAME {
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKLM\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
}
Include REGVAL_DATA -type STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type EXPANDABLE_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type MULTI_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include -access "CREATE WRITE"
}
}
}
#8.2 Rule Name: T1060 - 启动文件夹 - 启动文件夹中的文件
规则描述: 此规则触发器表示尝试在启动文件夹中创建文件。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 文件
规则:
Rule {
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\**.exe" }
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\Start Menu\\Programs\\Startup\\**.exe" }
Include -access "CREATE"
}
}
}
#9MITRE 技术 说明: T1204 – Fin7 的用户执行
对手可能依赖用户的特定操作来获得执行。此操作可能是直接代码执行,例如用户打开通过网络钓鱼附件发送的恶意可执行文件,且该附件以图标和明显的文档扩展名。 这还可能导致其他执行技术,例如用户单击通过网络钓鱼链接提供的链接,该链接会导致浏览器或应用程序漏洞利用,从而利用漏洞进行客户端执行。 对手可能会使用多种需要用户执行的文件类型,包括.doc 、 .pdf 、 .xls 、 .rtf .scr 、 .exe 、 .lnk 、 [] 、 .pif ] 和 .cpl 。
规则名称: T1204 – 通过 Office 文档中嵌入的 LNK 文件执行负载
规则描述: 此规则触发指示尝试从 Word 应用程序创建.lnk 文件。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 文件
规则:
Rule {
Process {
Include OBJECT_NAME { -v "winword.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\temp\\*.lnk" }
Include -access "CREATE"
}
}
}
#10MITRE 技术 说明: T1003 – FIN7 的凭据转储
监视与lsass.exe 交互的意外进程。常见的凭据转储程序(例如 Mimikatz )通过打开进程、定位 LSA 密钥并解密内存中存储凭据详细信息的部分来访问 LSA 子系统服务 (LSASS) 进程。凭据转储程序可能还使用改进进程注入的方法,以减少潜在的恶意活动指标。
#10.1 Rule Name: T1003 – 从注册表或 LSA 导出注册表条目
规则中导出 SAM 规则说明: 此规则触发指示尝试从注册表中导出 SAM。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 注册表
规则:
Rule {
Process {
Include AggregateMatch -xtype "1" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Include AggregateMatch -xtype "2" {
Exclude OBJECT_NAME { -v "TIWORKER.EXE" }
Exclude OBJECT_NAME { -v "DEVICECENSUS.EXE" }
Exclude OBJECT_NAME { -v "TRUSTEDINSTALLER.EXE" }
Exclude OBJECT_NAME { -v "TASKHOSTW.EXE" }
Exclude OBJECT_NAME { -v "OMADMCLIENT.EXE" }
Exclude OBJECT_NAME { -v "SERVICES.EXE" }
Exclude OBJECT_NAME { -v "CSRSS.EXE" }
Exclude OBJECT_NAME { -v "SVCHOST.EXE" }
Exclude OBJECT_NAME { -v "WINLOGON.EXE" }
Exclude OBJECT_NAME { -v "SCHTASKS.EXE" }
Exclude OBJECT_NAME { -v "REGEDIT.EXE" }
Exclude OBJECT_NAME { -v "UpdateNotificationMgr.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\SAM" }
Include OBJECT_NAME { -v "HKLM\\SAM\\Domain\\Account" }
Include OBJECT_NAME { -v "HKLM\\SECURITY\\Policy\\Secrets"}
Include -access "READ"
}
}
}
#10.2 Rule Name: T1003 – 使用卷影复制服务工具复制 SAM 文件
规则描述: 此规则触发器表示尝试使用卷影复制服务工具复制 SAM 文件。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 文件
规则:
Rule {
Process {
Include OBJECT_NAME { -v "esentutl.exe" }
Include DLL_LOADED -name "vssapi" { -v 0x1 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\system32\\config\\sam" }
Include -access "READ"
}
}
}
#11MITRE 技术 说明: T1055 – 进程注入
攻击者可能会将代码注入进程以逃避基于进程的防御并可能提升权限。进程注入是在单独的实时进程的地址空间内执行任意代码的方法。 在另一个进程的上下文中运行代码可能允许访问该进程的内存、系统或网络资源,并可能获得更高的权限。通过进程注入执行还可能会避开对安全产品的检测,因为执行在合法进程下被屏蔽。
规则名称: T1055 –ODBCconf DLL 注入 - DefenseEvasion for FIN7
规则描述: 此规则触发器表示试图滥用odbcconf.exe 注入潜在的恶意 DLL。
规则类别: 进程
规则:
Rule {
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "odbcconf.exe" }
Include PROCESS_CMD_LINE { -v "*REGSVR*" }
Include PROCESS_CMD_LINE { -v "*-encodedcommand*" }
Include -access "CREATE"
}
}
}
#12MITRE 技术 说明:T1569 – System Services: Service Execution
攻击者可能会滥用系统服务或守护进程来执行命令或程序。查询可以通过与或创建服务进行交互来执行恶意内容。 许多服务设置为在启动时运行,这可有助于实现持久性(创建或修改系统进程),但是小环境也会滥用一次或临时执行的服务。
规则名称: T1569 – 使用PSExec
规则描述的服务执行: 此规则触发器表示试图通过使用命名管道传输标准输出、输入和错误来滥用PSExec 。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类: 文件
规则:
Rule {
Process {
Include OBJECT_NAME {
-v *.exe
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**pipe\\psexesvc*"
}
Include OBJECT_NAME {
-v "**pipe\\remcom*"
}
Include OBJECT_NAME {
-v "**pipe\\PAExec*"
}
Include OBJECT_NAME {
-v "**pipe\\csexec*"
}
Include -access "CONNECT_NAMED_PIPE"
}
}
}
- 想要强化防御。
- 为使用需要调整和监控的功能而准备。
启用专家规则内容
有关创建专家规则的说明,请参阅 Endpoint Security 10.7.x 产品指南的“创建专家规则”部分。我们建议仅在严重性级别为“中”的“报告”中添加这些规则。
我们使用 ENS 10.7.0 2020 年 11 月更新在 Windows 2020 年 5 月 10 日更新上测试了这些规则。我们还在内部环境中测试了这些规则是否存在误报,并相应地添加了排除项。但是,如果您的环境中出现误报,我们建议您创建排除项以满足您的要求。
专家规则
以下是我们建议添加到您的环境中的规则列表,包括描述。还有对它们所涵盖的
- T1089 – 禁用 Fin7 的安全工具
- T1559.001 – 进程间通信:Fin7 的组件对象模型
- T1138 – 应用程序填充
- T1088 – 绕过用户帐户控制 Fin7
- T1053 – FIN7 的计划任务
- T1047 – 适用于 FIN7 的 Windows Management Instrumentation
- T1503 – Web 浏览器的凭据 - Chrome/Firefox/Opera 凭据
- T1060 – 用于 FIN7 的注册表运行密钥/启动文件夹
- T1204 – Fin7 的用户执行
- T1003 – FIN7 的凭据转储
- T1055 – 进程注入
- T1569 – 系统服务: 服务执行
#1
攻击者可能会禁用安全工具以避免可能检测到他们的工具和活动。此操作可能包括终止安全软件或事件记录进程;删除注册表项,以便工具不会在运行时启动;或其他干扰安全扫描或事件报告的方法。
规则名称: T1089 – 禁用安全工具 -
规则描述: 此规则触发器表示尝试修改 LSA 配置,这是凭证转储的前兆。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的身份验证应用程序,或者如果误报过多,则禁用特征码。
规则类别: 注册表
规则:
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\System\\CurrentControlSet\\Control\\Lsa\\Notification Packages" }
Include -access "CREATE WRITE"
}
}
}
#2
实现一个或多个接口。
查询可能会滥用 COM 执行本地命令或负载。 多个 COM 接口都面临风险,这些应用程序可能滥用于通过多种编程语言(如 C、C++、Java 和 VBScript)调用任意执行。 此外,存在特定的 COM 对象,以直接执行代码执行以外的功能。 这些对象包括计划任务创建、无文件下载/执行和其他计划行为,例如 权限升级 和 Persistence 。
#2.1 Rule Name: T1559.001 – COM - Word.Application 使用 PowerShell 和 Python
规则说明: 此规则触发器表示试图通过 Python 或 PowerShell 通过 Word 应用程序在本地或远程滥用 Windows 组件对象执行代码。
规则类别: 注册表
规则:
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "python.exe"
-v "python3.exe"
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.2 Rule Name: T1559.001 – COM - Word.Application 使用 MSHTA - JScript 和 VBScript
规则描述: 此规则触发器表示试图通过 JavaScript 或 VBScript 使用 MSHTA 滥用 COM 对象。
规则类别: 注册表
规则:
Process {
Include OBJECT_NAME {
-v "mshta.exe"
}
Include DLL_LOADED -name "jscript9" { -v 0x1 }
Include DLL_LOADED -name "vbscript" { -v 0x1 }
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKCR\\Word.Application\\CLSID\\**" }
Include OBJECT_NAME { -v "HKCR\\Word.Application.*\\CLSID\\**" }
Include -access "READ"
}
}
}
#2.3 Rule Name: T1559.001 – COM -
规则说明: 此规则触发器表示尝试通过 PowerShell、WMIC、MSHTA 或 VBScript 使用 WMI 滥用 COM 对象。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 进程
规则:
Process {
Include OBJECT_NAME {
-v "powershell.exe"
-v "powershell_ise.exe"
-v "mshta.exe"
-v "wscript.exe"
-v "cscript.exe"
}
Include AggregateMatch -xtype "ex1" {
Exclude PROCESS_CMD_LINE { -v "*McAfee\\MAR\\scripts\\*" }
}
Include AggregateMatch -xtype "ex2" {
Exclude PROCESS_CMD_LINE { -v "** **\\Windows\\Temp\"\\lsusers.vbs" }
}
Include AggregateMatch -xtype "ex3" {
Exclude PROCESS_CMD_LINE { -v "*Windows\\Temp\\lsusers.vbs*" }
}
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "wmiutils.dll" }
}
}
}
#3
Microsoft Windows 应用程序兼容性基础结构或框架(Application Shim)允许在操作系统代码库随时间变化时向后兼容软件。当程序执行时,会参考Shim缓存来判断程序是否需要使用Shim数据库(
为了保证 Shims 的安全,Windows 将它们设计为在用户模式下运行,因此它们无法修改内核,并且您必须具有管理员权限才能安装 Shim。但是,某些填充码可用于绕过用户帐户控制 (UAC) (UAC))、将 DLL 注入到进程 (InjectDDL)、禁用数据执行保护 (DisableNX) 和结构例外处理 (DisableSEH) 以及拦截内存地址 (GetProcAddress)。 与挂接类似,使用这些填充码可能会允许利用这些填充码执行若干恶意操作,例如填充项权限、安装后门程序以及禁用 Windows Defender 等防御。
#3.1 Rule Name: T1138 – 使用 SDB 文件的应用程序 Shimming-Persistence - 注册表访问
规则 描述: 此规则触发器表示试图通过注册表访问滥用应用程序 shimming。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 注册表
规则:
Process {
Include OBJECT_NAME { -v "sdbinst.exe" }
}
Target {
Match KEY {
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Custom"
}
Include OBJECT_NAME {
-v "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\InstalledSDB"
}
Include -access "WRITE CREATE"
}
}
}
#3.2 Rule Name: T1138 – 使用 SDB 文件的应用程序 Shimming-Persistence
规则描述: 此规则触发器表示试图通过 PowerShell 创建和执行 SDB 文件来滥用应用程序 shimming。
规则类别: 进程
规则:
Process {
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "sdbinst.exe" }
Include -access "CREATE EXECUTE"
}
}
}
#4
Windows UAC 允许程序提升其权限(跟踪为从低到高的完整性级别)以在管理员级别权限下执行任务,可能通过提示用户进行确认。对用户的影响范围很广,从在高度强制下拒绝操作,到允许用户执行操作(如果他们在本地管理员组中并单击提示),或者允许他们输入管理员密码以完成操作。
例如,使用 Runddl32 加载精心设计的 DLL,该 DLL 加载自动升级的 组件对象型号 对象,然后在通常需要提升访问的受保护目录中执行文件操作。 恶意软件也可能注入到受信任的进程中,以提升权限,而无需提示用户。
规则名称: T1088 – Bypass
规则说明: 此规则触发器表示试图通过劫持系统 DLL 来绕过用户帐户控制。
规则类别: 进程
规则:
Process {
Include OBJECT_NAME { -v "sysprep.exe" }
Include CERT_NAME { -v "*Microsoft Corporation*" }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v "cryptsp.dll" }
Include OBJECT_NAME { -v "cryptbase.dll" }
Include OBJECT_NAME { -v "RpcRtRemote.dll" }
Include OBJECT_NAME { -v "UxTheme.dll" }
Include OBJECT_NAME { -v "dwmapi.dll" }
Include OBJECT_NAME { -v "SHCORE.dll" }
Include OBJECT_NAME { -v "OLEACC.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptsp.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\cryptbase.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\RpcRtRemote.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\UxTheme.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\dwmapi.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\SHCORE.dll" }
Exclude OBJECT_NAME { -v "%windir%\\system32\\OLEACC.dll" }
}
}
}
#5
攻击者可能会滥用 Windows 任务计划程序来为恶意软件的初始或重复执行执行任务计划。有多种方法可以访问 Windows 中的任务计划程序。 查询可能使用 Windows 任务计划程序在系统启动时或按计划按计划执行程序进行持久性。 Windows 任务计划程序也可受到滥用,以执行远程执行(作为"改进部分"的一部分),或根据指定帐户(例如 SYSTEM)的上下文运行进程。
规则名称: T1053 – FIN7 的计划任务使用
规则描述: 此规则触发器表示试图滥用任务计划程序功能以实现持久性和执行。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 进程
规则:
Process {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME { -v "WSQMCONS.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\McAfee\\**" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\McAfee\\**" }
Exclude PROCESS_CMD_LINE { -v "**\\McAfee\\MAR\\scripts\\**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "schtasks.exe" }
Include PROCESS_CMD_LINE { -v "*/create*" }
Include PROCESS_CMD_LINE { -v "*/delete*" }
Include PROCESS_CMD_LINE { -v "*/change*" }
Include -access "CREATE EXECUTE"
}
}
}
#6
WMI 是一种 Windows 管理功能,它为本地和远程访问 Windows 系统组件提供统一的环境。WMI 依靠 WMI 服务进行本地和远程访问,并且通过服务器消息块 (SMB) 和远程过程调用服务 (RPCS) 进行远程访问。
一个查询可以使用 WMI 与本地和远程系统进行交互,并使用它执行许多查询功能,例如,收集信息,以发现和远程执行文件,作为横向移动的一部分。
规则名称: T1047 – 使用 WMIC
规则说明执行程序: 此规则触发器表示试图滥用 WMI 功能以实现持久性。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 进程
规则:
Target {
Match PROCESS {
Include DESCRIPTION { -v "WMI Commandline Utility" }
Include PROCESS_CMD_LINE { -v "* process */FORMAT:*" }
Include PROCESS_CMD_LINE { -v "* process *call *create *" }
Include -access "CREATE"
}
}
}
#7
攻击者可能通过读取特定于目标浏览器的文件从 Web 浏览器获取凭证。Web 浏览器通常会保存网站用户名和密码等凭据,以便将来无需手动输入。Web 浏览器通常以加密格式将凭据存储在凭据存储中。 但是,存在从 Web 浏览器提取纯文本凭据的方法。 对于与凭据经常匹配的模式,查询 Web 浏览器进程内存也可获取凭据。 从 Web 浏览器获取凭据后,浏览器可能会尝试回收不同系统或帐户之间的凭据,以展开访问。
规则名称: T1503 - 来自 Web 浏览器的凭据 - Chrome/Firefox/Opera 凭据
规则描述: 此规则触发指示尝试访问用于在浏览器中存储凭据的文件。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 文件
规则:
Process {
Include AggregateMatch -xtype "not_excluded_path" {
Include OBJECT_NAME { -v "**" }
Exclude OBJECT_NAME {
-v "**\\Google\\Chrome\\Application\\chrome.exe"
-v "**\\Mozilla Firefox\\firefox.exe"
-v "**\\Windows\\System32\\browserexport.exe"
-v "**\\chrome-win\\chrome.exe"
-v "**\\Microsoft\\Edge\\Application\\msedge.exe"
-v "**\\Opera\\*\\opera.exe"
-v "**\\Vivaldi\\Application\\vivaldi.exe"
-v "**\\Chromium\\Application\\chrome.exe"
-v "ir_agent.exe"
}
}
Include AggregateMatch -xtype "not_trusted" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Google\\Chrome\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Chromium\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Microsoft\\Edge\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Default\\Login Data"
-v "**\\AppData\\Local\\Vivaldi\\User Data\\Profile *\\Login Data"
-v "**\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*\\logins.json"
}
Include -access "READ WRITE DELETE RENAME"
}
}
}
#8
向注册表或启动文件夹中的“运行键”添加条目会导致在用户登录时执行引用的程序。这些程序在用户上下文中执行并且具有帐户关联的权限级别。
#8.1 Rule Name: T1060 –
规则说明: 此规则触发器表示尝试在用户登录时执行程序。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 注册表
规则:
Target {
Match VALUE {
Include OBJECT_NAME {
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKLM\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKLM\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
-v "HKCU\\SOFTWARE\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\Run\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\**"
-v "HKCU\\Software\\WOW6432node\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\**"
}
Include REGVAL_DATA -type STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type EXPANDABLE_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include REGVAL_DATA -type MULTI_STRING {
-v "**.lnk"
-v "**.vba"
-v "**.vbs"
}
Include -access "CREATE WRITE"
}
}
}
#8.2 Rule Name: T1060 - 启动文件夹 - 启动文件夹中的文件
规则描述: 此规则触发器表示尝试在启动文件夹中创建文件。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 文件
规则:
Process {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\**.exe" }
Include OBJECT_NAME { -v "%systemdrive%\\Users\\*\\Start Menu\\Programs\\Startup\\**.exe" }
Include -access "CREATE"
}
}
}
#9
对手可能依赖用户的特定操作来获得执行。此操作可能是直接代码执行,例如用户打开通过网络钓鱼附件发送的恶意可执行文件,且该附件以图标和明显的文档扩展名。 这还可能导致其他执行技术,例如用户单击通过网络钓鱼链接提供的链接,该链接会导致浏览器或应用程序漏洞利用,从而利用漏洞进行客户端执行。 对手可能会使用多种需要用户执行的文件类型,包括
规则名称: T1204 – 通过 Office 文档中嵌入的 LNK 文件执行负载
规则描述: 此规则触发指示尝试从 Word 应用程序创建
规则类别: 文件
规则:
Process {
Include OBJECT_NAME { -v "winword.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\temp\\*.lnk" }
Include -access "CREATE"
}
}
}
#10
监视与
#10.1 Rule Name: T1003 – 从注册表或 LSA 导出注册表条目
规则中导出 SAM 规则说明: 此规则触发指示尝试从注册表中导出 SAM。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 注册表
规则:
Process {
Include AggregateMatch -xtype "1" {
Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 }
}
Include AggregateMatch -xtype "2" {
Exclude OBJECT_NAME { -v "TIWORKER.EXE" }
Exclude OBJECT_NAME { -v "DEVICECENSUS.EXE" }
Exclude OBJECT_NAME { -v "TRUSTEDINSTALLER.EXE" }
Exclude OBJECT_NAME { -v "TASKHOSTW.EXE" }
Exclude OBJECT_NAME { -v "OMADMCLIENT.EXE" }
Exclude OBJECT_NAME { -v "SERVICES.EXE" }
Exclude OBJECT_NAME { -v "CSRSS.EXE" }
Exclude OBJECT_NAME { -v "SVCHOST.EXE" }
Exclude OBJECT_NAME { -v "WINLOGON.EXE" }
Exclude OBJECT_NAME { -v "SCHTASKS.EXE" }
Exclude OBJECT_NAME { -v "REGEDIT.EXE" }
Exclude OBJECT_NAME { -v "UpdateNotificationMgr.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\Program Files (x86)\\Common Files\\microsoft shared\\ClickToRun\\*.exe" }
Exclude OBJECT_NAME { -v "**\\program files\\microsoft office\\**.exe" }
Exclude OBJECT_NAME { -v "**\\program files (x86)\\microsoft office\\**.exe" }
}
}
Target {
Match KEY {
Include OBJECT_NAME { -v "HKLM\\SAM" }
Include OBJECT_NAME { -v "HKLM\\SAM\\Domain\\Account" }
Include OBJECT_NAME { -v "HKLM\\SECURITY\\Policy\\Secrets"}
Include -access "READ"
}
}
}
#10.2 Rule Name: T1003 – 使用卷影复制服务工具复制 SAM 文件
规则描述: 此规则触发器表示尝试使用卷影复制服务工具复制 SAM 文件。此规则用于监视或遥测。建议客户微调规则以适用于其环境中使用的应用程序,或者如果存在误报,则禁用特征码。
规则类别: 文件
规则:
Process {
Include OBJECT_NAME { -v "esentutl.exe" }
Include DLL_LOADED -name "vssapi" { -v 0x1 }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\windows\\system32\\config\\sam" }
Include -access "READ"
}
}
}
#11
攻击者可能会将代码注入进程以逃避基于进程的防御并可能提升权限。进程注入是在单独的实时进程的地址空间内执行任意代码的方法。 在另一个进程的上下文中运行代码可能允许访问该进程的内存、系统或网络资源,并可能获得更高的权限。通过进程注入执行还可能会避开对安全产品的检测,因为执行在合法进程下被屏蔽。
规则名称: T1055 –
规则描述: 此规则触发器表示试图滥用
规则类别: 进程
规则:
Process {
Include OBJECT_NAME { -v "**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "odbcconf.exe" }
Include PROCESS_CMD_LINE { -v "*REGSVR*" }
Include PROCESS_CMD_LINE { -v "*-encodedcommand*" }
Include -access "CREATE"
}
}
}
#12
攻击者可能会滥用系统服务或守护进程来执行命令或程序。查询可以通过与或创建服务进行交互来执行恶意内容。 许多服务设置为在启动时运行,这可有助于实现持久性(创建或修改系统进程),但是小环境也会滥用一次或临时执行的服务。
规则名称: T1569 – 使用
规则描述的服务执行: 此规则触发器表示试图通过使用命名管道传输标准输出、输入和错误来滥用
规则类: 文件
规则:
Process {
Include OBJECT_NAME {
-v *.exe
}
}
Target {
Match FILE {
Include OBJECT_NAME {
-v "**pipe\\psexesvc*"
}
Include OBJECT_NAME {
-v "**pipe\\remcom*"
}
Include OBJECT_NAME {
-v "**pipe\\PAExec*"
}
Include OBJECT_NAME {
-v "**pipe\\csexec*"
}
Include -access "CONNECT_NAMED_PIPE"
}
}
}
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。