Secdo プラットフォームを用いた狩猟過程
0
Created On 09/25/18 18:17 PM - Last Modified 07/19/22 23:09 PM
Resolution
SECDO プラットフォームを使用した狩猟プロセスは、組織のホストの異常な動作をデータベースに問い合わせることに基づいています。調査の開始点を見つけるには、次の例を使用します。
- Google DNS サーバーと通信するプロセス (svchost およびブラウザを除く)
- ru/cn ドメインと通信するプロセス (ブラウザおよび skype を除く)
- 情報/xyz/biz ドメインと通信するプロセス (ブラウザと skype を除く)
- インターネットから直接着信接続
- Rundll32 マイクロソフト以外のドメインとの通信
- ごみ箱から実行されているプロセス
- 二重の拡張子 (.doc など) で実行されているプロセス
- 一時ディレクトリから実行されている未署名のプロセス
- プロセスは、ユーザーディレクトリまたは temp ディレクトリから OS から開始され、1つのエンドポイントでしか見つけることができません。
- プロセスは hosts ファイルを変更します。
- ラン/ランに新しい値を書き込むプロセス reg キー
- ' create ' 引数を指定して schtasks を実行しているプロセス
- ' wmic shadowcopy ' または ' vssadmin' を実行しているプロセス
- netsh を実行しているプロセス
- ネット使用を実行しているプロセス
- プロセスは、ホスト上の証明書の設定を変更する (certstore に証明書を追加)
- 全般 (DLL) とは異なるプロセスは、ホスト上のプロキシ構成を変更します。
- プロセスは、ホスト上の UAC を無効にしようとする
- ブラウザとは異なるプロセスブラウザの履歴ファイルを読む
- プロセスは、彼が実行しているホストを識別しようとします。
- ブラウザアクセスインデックス .dat または chrome db ファイル以外のプロセス。
- Wscript または cscript は、temp ディレクトリまたはユーザーディレクトリから vb/js スクリプトを実行しています
- PowerShell を実行している base64 コード
- インターネット上の宛先と通信する PowerShell
- cmd/powershell/wscript/cscript 子を持つ Office プロセス (winword など)
- parshe * decrypt* または * decrypt* を使用したディスク上のファイルの作成
- ポート20/21/22/23 経由の発信接続
- Cmd \ powershell \ wscript から実行している winword \ excel
- System32 とは異なる場所から読み込まれた DLL