Мобильная версияПравила Yara не соответствуют строке — событие Windows ⇐ Python
-
Anonymous
Правила Yara не соответствуют строке — событие Windows
Мне нужна небольшая помощь: Я запускал события «Постоянство реестра», которые могут быть связаны с наличием вредоносного ПО.
Вот правило Yara, которое я пытался активировать из событий Sysmon (канал просмотра событий)
правило RegistryPersistence { струны: $CommandLine = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce" состояние: $CommandLine } Вот команда powershell, которую я хочу запустить:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v 0 /d C:\temp\malicious.dll
Я пытался использовать SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce*, но ничего не изменилось. Однако если я укажу $CommandLine = "reg.exe", событие сработает, как и ожидалось.
В данный момент мы будем очень признательны за любую помощь.
Событие из средства просмотра событий
Процесс создания: RuleName: - UtcTime: 2023-04-24 21:07:52.827 ProcessGuid: {f3ae464f-efa8-6446-1104-000000000e00} ProcessID: 11916 Изображение: C:\Windows\System32\reg.exe Версия файла: 10.0.17763.1 (WinBuild.160101.0800) Описание: Продукт консоли реестра: Операционная система Microsoft® Windows® Компания: Microsoft Corporation Исходное имя файла: reg.exe. Командная строка: «C:\Windows\system32\reg.exe». добавьте HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v 0 /d C:\temp\malicious.dll CurrentDirectory: C:\Windows\system32\ Пользователь: DESKTOP-D577HXY\Tester LogonGuid: {f3ae464f-df1a-6446-3085-c10000000000} LogonID: 0xC18530 TerminalSessionId: 1 IntegrityLevel: Высокие хэши: SHA256=19316D4266D0B776D9B2A05D5903D8CBC8F0EA1520E9C2A7E6D5960B6FA4DCAF ParentProcessGuid: {f3ae464f-df1b-6446-4c03-000000000e00} ParentProcessId: 10264 ParentImage: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Родительскаякомандная строка: «C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe» Родительский пользователь: DESKTOP-D577HXY\Tester
Мне нужна небольшая помощь: Я запускал события «Постоянство реестра», которые могут быть связаны с наличием вредоносного ПО.
Вот правило Yara, которое я пытался активировать из событий Sysmon (канал просмотра событий)
правило RegistryPersistence { струны: $CommandLine = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce" состояние: $CommandLine } Вот команда powershell, которую я хочу запустить:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v 0 /d C:\temp\malicious.dll
Я пытался использовать SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce*, но ничего не изменилось. Однако если я укажу $CommandLine = "reg.exe", событие сработает, как и ожидалось.
В данный момент мы будем очень признательны за любую помощь.
Событие из средства просмотра событий
Процесс создания: RuleName: - UtcTime: 2023-04-24 21:07:52.827 ProcessGuid: {f3ae464f-efa8-6446-1104-000000000e00} ProcessID: 11916 Изображение: C:\Windows\System32\reg.exe Версия файла: 10.0.17763.1 (WinBuild.160101.0800) Описание: Продукт консоли реестра: Операционная система Microsoft® Windows® Компания: Microsoft Corporation Исходное имя файла: reg.exe. Командная строка: «C:\Windows\system32\reg.exe». добавьте HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v 0 /d C:\temp\malicious.dll CurrentDirectory: C:\Windows\system32\ Пользователь: DESKTOP-D577HXY\Tester LogonGuid: {f3ae464f-df1a-6446-3085-c10000000000} LogonID: 0xC18530 TerminalSessionId: 1 IntegrityLevel: Высокие хэши: SHA256=19316D4266D0B776D9B2A05D5903D8CBC8F0EA1520E9C2A7E6D5960B6FA4DCAF ParentProcessGuid: {f3ae464f-df1b-6446-4c03-000000000e00} ParentProcessId: 10264 ParentImage: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Родительскаякомандная строка: «C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe» Родительский пользователь: DESKTOP-D577HXY\Tester
-
- Похожие темы
- Ответы
- Просмотры
- Последнее сообщение
