Les règles par défaut de la fonction MITRE ATT&CK sont fournies pour envoyer des alertes techniques à partir du cadre de la
fonction MITRE ATT&CK (https://attack.mitre.org/). Il y a 24 règles se rapportant au comportement malveillant et la plupart sont mises en correspondance à une technique MITRE
particulière. La liste complète des règles se trouve ci-dessous.
-
Nom le comportement suspect de MS Office
Clause (Event type = Follow Process and (Process Info - Exec Path doesn’t contain Windowssplwow64.exe ) and (Process Info - Exec Path doesn’t contain chrome.exe ) and (Process Info - Exec Path doesn’t contain msip.executionhost.exe ) and (Process Info - Exec Path doesn’t contain msip.executionhost32.exe ) and (Process Info - Exec Path doesn’t contain msosync.exe ) and (Process Info - Exec Path doesn’t contain ofccccaupdate.exe ) with ancestor (Process Info - Exec Path contains winword.exe or Process Info -Exec Path contains excel.exe or Process Info -Exec Path contains powerpnt.exe )
Description Cette règle alerte et enregistre le fait que les processus Microsoft Office (WIN-WORD.exe/EXCEL.exe/POWERPNT.exe) créent
des processus enfants. Sur la base de nos recherches, nous avons autorisé quelques processus enfants courants connus pour
être créés par ces fichiers binaires MS Office, afin de réduire le nombre de faux positifs.
-
Nom T1015 – Fonctions d’accessibilité 1
Clause Event type = Follow Process (Process Info - Exec Path contains cmd.exe or Process Info -Exec Path contains powershell.exe or Process Info - Exec Path contains cscript.exe or Process Info - Exec Path contains wscript.exe) and (Follow Process - Parent Exec Path contains winlogon.exe or Follow Process - Parent Exec Path contains atbroker.exe or Follow Process - Parent Exec Path contains utilman.exe)
Description Cette règle alerte et enregistre les cas où les fichiers binaires des fonctions d'accessibilité (clavier à l'écran, loupe,
touches rémanentes, etc). sont utilisés de manière abusive et incitent à ouvrir cmd/powershell/cscript/wscript. L’appel des
fichiers binaires d’accessibilité est contrôlé par les processus winlogon, atbroker ou utilman, selon l’endroit où ils sont
appelés (à partir de l’écran de connexion ou après la connexion de l’utilisateur). Cette règle intercepte les processus enfants
suspects (cmd.exe, powershell.exe, cscript.exe, wscript.exe) des processus d’accessibilité (winlogon.exe, utilman.exe et atbroker.exe).
Utilisez-le avec T1015 – Fonctionnalités d’accessibilité 2 pour détecter également les processus enfants supplémentaires de ces quatre processus enfants suspects**.
-
Nom T1015 – Fonctions d’accessibilité 2
Clause Event type = Follow Process with ancestor (( Process Info - Exec Path contains cmd.exe or Process Info - Exec Path contains powershell.exe or Process Info - Exec Path contains cscript.exe or Process Info - Exec Path contains wscript.exe) and (Follow Process - Parent Exec Path contains winlogon.exe or Follow Process - Parent Exec Path contains atbroker.exe or Follow Process - Parent Exec Path contains utilman.exe))
Description Cette règle alerte et enregistre si l’un des exécutables des fonctionnalités d’accessibilité (clavier à l’écran, loupe, touches
rémanentes, etc). est corrompu et incite à ouvrir cmd.exe/powershell.exe/cscript.exe/wscript. exe. L’appel des fichiers binaires
d’accessibilité est contrôlé par les processus winlogon, atbroker ou utilman, selon l’endroit où ils sont appelés (à partir
de l’écran de connexion ou après la connexion de l’utilisateur). Cette règle capture les processus enfants suspects de ces
processus (winlogon, utilman et atbroker). Il faut l’utiliser avec T1015 – Fonctionnalités d’accessibilité 1 qui alerte les processus enfants suspects des fichiers binaires d’accessibilité.
-
Nom T1085 - runll32
Clause (Event type = Follow Process and Process Info Exec Path does not contain msiexec.exe and Process Info Exec Path does not contain WindowsSystem32SystemPropertiesRemote.exe with ancestor (Process Info - Exec Path contains rundll32.exe and Follow Process - Parent Exec Path does not contain msiexec.exe and not ( Process Info -command string contains Windowssystem32shell32.dll or ( Process Info -command string contains Windowssyswow64shell32.dll or ( Process Info -command string contains WindowsSystem32migrationWinInetPlugin.dll ))
Description Cette règle alerte et enregistre les cas où rundll32.exe crée des processus enfants. Ce fichier binaire peut être appelé
pour exécuter des fichiers binaires/DLL quelconques ou utilisé par control.exe pour installer des éléments malveillants sur
le panneau de configuration. Cependant, nous l'avons autorisé si msiexec.exe est le parent ou le descendant de runDLL32.exe.
Nous avons également autorisé certaines des commandes courantes runDLL32 qui utilisent des DLL bien connues.
-
Nom T1118 – InstallUtil
Clause Event type = Follow Process with ancestor Process Info - Exec Path contains hh.exe
Description Cette règle alerte et enregistre les cas où InstallUtil.exe crée des processus enfants.
-
Nom T1121 - Regsvcs/Remasm
Clause Event type = Follow Process and ( Process Info - Exec path does not contain fondue.exe or Process Info - Exec path does not contain regasm.exe or Process Info - Exec path does not contain regsvr32.exe with ancestor (Process Info - Exec Path contains regasm.exe or Process Info - Exec Path contains regsvcs.exe)
Description Cette règle alerte et enregistre les cas où regsvcs.exe ou regasm.exe créent des processus enfants. Cependant, nous l'avons
autorisée si fondue.exe/regasm.exe/regsvr32.exe est généré par regasm.exe ou regsvcs.exe afin de réduire le nombre de faux
positifs.
-
Nom T1127 – Utilitaires pour développeurs de confiance – msbuild.exe
Clause ( Event type = Unseen Command with ancestor Process Info - Exec Path contains MSBuild.exe ) and ( Process Info - Exec Path does not contain Tracker.exe ) and ( Process Info -Exec Path doesn’t contain csc.exe ) and ( Process Info - Exec Path does not contain Microsoft Visual Studio ) and ( Process Info - Exec Path does not contain al.exe ) and ( Process Info - Exec Path does not contain lc.exe ) and ( Process Info - Exec Path does not contain dotnet.exe ) and ( Process Info - Exec Path does not contain cvtres.exe ) and ( Process Info - Exec Path does not contain conhost.exe ) and not ( Event type = Unseen Command with ancestor ( Process Info - Exec Path contains Tracker.exe or Process Info - Exec Path contains csc.exe or Process Info - Exec Path contains Microsoft Visual Studio or Process Info - Exec Path contains al.exe or Process Info - Exec Path contains lc.exe or Process Info - Exec Path contains dotnet.exe or Process Info - Exec Path contains cvtres.exe ) )
Description Cette règle alerte et enregistre les cas où msbuild.exe crée des processus enfants qui n'appartiennent pas à une liste d'autorisation
des processus enfants qu'il crée habituellement. Cette règle est actuellement basée sur la commande non vue, par opposition
à Suivre le processus, car l’option Suivre le processus ne prend pas encore en charge l’autorisation des sous-arborescences
de processus. La règle actuelle autorise les processus suivants et leurs descendants : Tracker.exe, csc.exe, tout processus
du chemin « Microsoft Visual Studio », al.exe, lc.exe, dotnet.exe et cvtres.exe. La règle autorise également conhost.exe.
Ces processus peuvent être observés lors de l’utilisation normale de MSBuild.exe (par exemple, lors de la compilation d’un
projet à l’aide de Visual Studio). Tous les autres descendants (comportement non habituel) de MSBuild.exe font l'objet d'alertes.
-
Nom T1127 – Utilitaires pour développeurs de confiance – rcsi.exe
Clause Event type = Follow Process with ancestor Process Info - Exec Path contains rcsi.exe
Description Cette règle alerte et enregistre les cas où recsi.exe crée des processus enfants.
-
Nom T1127 – Utilitaires pour développeurs de confiance – tracker.exe
Clause (Event type = Unseen Command with_ancestor Process Info - Exec Path contains tracker.exe) and not (Event type = Unseen Command with_ancestor Process Info - Exec Path contains MSBuild.exe)
Description Cette règle alerte et enregistre les cas où tracker.exe crée des processus enfants et tracker lui-même n’est pas un descendant
de MSBuild.exe. Ainsi, les appels légitimes du tracker via Visual Studio sont approuvés, mais les autres appels font l'objet
d'alertes. L'une des limites des règles Tracker.exe et MSBuild.exe précédentes est que si un attaquant utilise la technique
MSBuild pour créer Tracker, puis fait en sorte que Tracker crée un enfant malveillant, il ne sera pas alerté par l'une ou
l'autre des règles puisque Tracker ayant MSBuild comme ancêtre est considéré comme légitime.
-
Nom T1128 – DLL de l’assistant Netsh
Clause Event type = Follow Process with ancestor Process Info - Exec Path contains netsh.exe
Description Cette règle alerte et enregistre les cas où netsh.exe crée des processus enfants.
-
Nom T1136 - Créer un compte
Clause Event type = User Account
Description Cette règle alerte et enregistre la création d’un nouvel utilisateur.
-
Nom T1138 - Calage des applications
Clause Event type = Follow Process Info - Exec Path contains sdbinst.exe
Description Cette règle alerte et enregistre si sdbinst.exe est appelé.
-
Name T1180 - Économiseur d’écran
Clause Event type = Follow Process AND with ancestor Process Info - Exec Path contains .scr
Description Cette règle alerte et enregistre la création d’un processus avec la mention « .scr » dans le chemin d’exécution.
-
Nom T1191 – CMSTP
Clause Event type = Follow Process with ancestor Process Info - Exec Path contains cmstp.exe
Description Cette règle alerte et enregistre les cas où cmstp.exe crée des processus enfants.
-
Nom T1202 – Exécution de commande indirecte – forfiles.exe
Clause Event type = Follow Process with ancestor Process Info - Exec Path contains forfiles.exe
Description Cette règle alerte et enregistre les cas où forfiles.exe crée des processus enfants.
-
Nom T1202 – Exécution de commande indirecte – pcalua.exe
Clause Event type = Follow Process with ancestor Process Info - Exec Path contains pcalua.exe
Description Cette règle alerte et enregistre les cas où pcalua.exe crée des processus enfants.
-
Nom T1216 – Exécution de serveur mandataire de script signé – pubprn.vbs
Clause Event type = Follow Process with ancestor (( Process Info - Exec Path contains cscript.exe or Process Info - Exec Path contains wscript.exe) and Process Info - Command String contains .vbs and Process Info - Command String contains script )
Description Cette règle alerte et enregistre les cas où un script vbs est exécuté à l’aide de wscript.exe ou cscript.exe pour créer un
nouveau processus, avec un paramètre « script ». Cette technique pourrait être utilisée par un attaquant pour exécuter pubprn.vbs
avec un paramètre de script pointant vers un fichier sct malveillant, qui aurait alors pour but l’exécution du code.
-
Nom T1218 – Exécution du serveur mandataire binaire signé - msiexec.exe
Clause Event type = Follow Process with ancestor Process Info - Exec Path contains rcsi.exe
Description Cette règle alerte et enregistre les cas où msiexec.exe crée des processus enfants.
-
Nom T1218 – Exécution serveur mandataire binaire signé - odbcconf.exe
Clause Event type = Follow Process with ancestor Process Info - Exec Path contains odbcconf.exe
Description Cette règle alerte et enregistre les cas où odbcconf.exe crée des processus enfants.
-
Nom T1218 – Exécution du serveur mandataire binaire signé - Register-CimProvider
Clause Event type = Follow Process with ancestor Process Info - Exec Path contains Register-CimProvider.exe
Description Cette règle alerte et enregistre les cas où Register-CimProvider.exe crée des processus enfants.
-
Nom T1220 – Traitement de script XSL – msxsl.exe
Clause Event type = Follow Process with ancestor Process Info - Exec Path contains msxsl.exe
Description Cette règle alerte et enregistre le cas où msxsl.exe crée des processus enfants.
-
Nom T1220 - Traitement de script XSL - wmic
Clause Event type = Follow Process and (Process Info - Exec Path contains wmic.exe and Process Info - Command String contains .xsl)
Description Cette règle alerte et enregistre les cas où un script xsl est utilisé par wmic. Cela peut être utilisé pour lancer des fichiers
binaires quelconques.
-
Nom T1223 – Fichiers HTML compilés
Clause Event type = Follow Process with ancestor Process Info - Exec Path contains hh.exe
Description Cette règle alerte et enregistre les cas où hh.exe crée des processus enfants.
-
Nom T1003 – Vidage des informations d’authentification – Lsass
Clause Event type = Follow Process and Process Info - Exec Path contains procdump.exe and Process Info - Command String contains lsass
Description Cette règle alerte et enregistre les cas où processdump.exe est utilisé pour vider la mémoire des processus lsass.
-
Nom T1140 – Désobscurcissement/décodage des fichiers ou des renseignements
Clause Event type = Follow Process and Process Info - Exec Path contains certutil.exe and (Process Info - Command String matches .*encode\s.* or Process Info - Command String matches .*decode\s.*
Description Cette règle alerte et enregistre les cas où certutil.exe est utilisé pour coder ou décoder un fichier. Cette technique est
souvent utilisée par les attaquants pour décoder leur charge utile codée sur l’ordinateur victime.
-
Name T1076 - Protocole de bureau à distance (Remote Desktop Protocol)
Clause Event type = Follow Process and Process Info - Exec Path contains tscon.exe
Description Cette règle alerte et enregistre les cas où tscon.exe est exécuté. Les attaquants peuvent utiliser tscon.exe pour détourner
des sessions RDP existantes.
-
Nom T1197 – Tâches BITS – Powershell
Clause Event type = Follow Process and Process Info - Exec Path contains powershell.exe and Process Info - Command String contains Start-BitsTransfer
Description Cette règle alerte et enregistre les cas où powershell.exe est utilisé pour exécuter le cmdlet Start-BitsTransfer pour copier
ou déplacer des fichiers.
-
Nom T1170 – MSHTA
Clause Event type = Follow Process with ancestor Process Info - Exec Path contains mshta.exe
Description Cette règle alerte et enregistre les cas où mshta.exe est utilisé pour exécuter des scripts HTA malveillants qui engendrent
des processus enfants.
-
Nom T1158 - Fichiers et répertoires masqués
Clause Event type = Follow Process and (Process Info - Exec Path contains attrib.exe and Process Info - Command String contains +h)
Description Cette règle alerte et enregistre les cas où attib.exe est utilisé pour définir un fichier/répertoire comme masqué.
-
Name T1114 - Collecte des courriels
Clause Event type = Follow Process (Process Info - Command String matches .*.(ost|pst)(\s|"|’).* or Process Info - Command String matches .*.(ost|pst)$ ) Process Info - Exec Path doesn’t contain outlook.exe
Description Cette règle alerte et enregistre les accès aux fichiers de courriel (.ost et .pst) à partir de tout autre processus qu’outlook.exe.
-
Nom T1070 – Retrait de l’indicateur sur l’hôte - Journal des événements
Clause Event type = Follow Process and Process Info - Exec Path contains wevtutil.exe and Process Info - Command String matches .*\s(cl|clear-log)\s.*
Description Cette règle alerte et enregistre les cas où wevtutil.exe est utilisé pour effacer les journaux des événements.
-
Nom T1070 – Retrait de l’indicateur sur l’hôte – USN
Clause Event type = Follow Process and Process Info - Exec Path contains fsutil.exe and Process Info - Command String matches .*\susn\s.* and Process Info - Command String matches .*\sdeletejournal.*
Description Cette règle alerte et enregistre les cas où fsutil.exe est utilisé pour supprimer des journaux USN.
-
Nom T1053 - Tâche planifiée
Clause Event type = Follow Process and Process Info - Exec Path contains schtasks.exe and Process Info - Command String contains create
Description Cette règle alerte et enregistre les cas où SCHTASK.exe est utilisé pour créer des tâches planifiées.
-
Nom T1003 - Vidage des informations d’authentification - Vaultcmd
Clause Event type = Follow Process and Process Info - Exec Path contains vaultcmd.exe and Process Info - Command String matches .*\/list.*
Description Cette règle alerte et enregistre les cas où vaultcmd.exe est utilisé pour accéder au coffre-fort des informations d’authentification
Windows.
-
Nom T1003 – Vidage des informations d’authentification - Registre
Clause Event type = Follow Process and Process Info - Exec Path contains reg.exe and ((Process Info - Command String contains save or Process Info - Command String contains export) and (Process Info - Command String contains hklm or Process Info - Command String contains hkey_local_machine) and (Process Info - Command String contains sam or Process Info - Command String contains security or Process Info - Command String contains system))
Description Cette règle alerte et enregistre, les cas où reg.exe est utilisé, pour le vidage de certains éléments du registre.
-
Nom T1201 - Découverte de la politique en matière de mots de passe 1
Clause Event type = Follow Process and Process Info - Exec Path contains change and Process Info - Command String contains -l
Description Cette règle alerte et enregistre les cas où l’utilitaire de modification est utilisé pour répertorier la politique de mot
de passe (politique d’âge du mot de passe) sur un ordinateur Linux.
-
Nom T1081 – Informations d’authentification dans les fichiers – Linux
Clause Event type = Follow Process and (Process Info - Exec Path contains cat or Process Info - Exec Path contains grep) and (Process Info - Command String contains .bash_history or Process Info - Command String contains .password or Process Info - Command String contains .passwd)
Description Cette règle alerte et enregistre toute tentative de recherche de mots de passe stockés dans les fichiers sur un ordinateur
Linux.
-
Nom T1081 - Informations d’authentification dans les fichiers - Windows
Clause Event type = Follow Process and Process Info - Exec Path contains findstr.exe and Process Info - Command String contains password
Description Cette règle alerte et enregistre les tentatives de recherche de mots de passe stockés dans les fichiers sur un ordinateur
Windows.
-
Nom T1089 – Désactivation des outils de sécurité
Clause Event type = Follow Process and ( (Process Info - Exec Path contains fltmc.exe and Process Info - Command String contains unload sysmon) or (Process Info - Exec Path contains sysmon.exe and Process Info - Command String contains /u) )
Description Cette règle alerte et enregistre les tentatives de déchargement du pilote sysmon à l’aide de fltmc.exe ou de sysmon.exe