Endpunkt

Erkennt den Passwort-Spraying-Angriff.

Erkennt den Brute-Force-Angriff.

Wird ausgelöst, wenn eine Virtual Network Computing (VNC)-Anwendung aus dem Internet auf einem lokalen Host erkannt wird.

Wird ausgelöst, wenn das Microsoft Remote Desktop Protocol (RDP) vom Internet zu einem lokalen Host erkannt wird.

Wird ausgelöst, wenn eine verdächtige Anmeldung von einem gültigen Konto erkannt wird

Wird ausgelöst, wenn ein Prozess, der kein Kind haben soll, einen Prozess startet.

Wird ausgelöst, wenn eine kritische Datei oder eine Datei in einem kritischen Verzeichnis gelöscht wird.

Wird ausgelöst, wenn kritische Dateien oder Verzeichnisse geändert werden und eine verdächtige Aktivität auftritt.

Wird ausgelöst, wenn eine Kommunikation mit einer potenziell feindlichen IP-Adresse stattfindet. Die potenziellen feindlichen IP-Adressen werden entweder in IBM X-force oder in der benutzerdefinierten Referenzsammlung erfasst.

Wird ausgelöst, wenn eine Verwendung des PSExec-Moduls erkannt wird.

Wird ausgelöst, wenn ein Service für die Verwendung von Powershell konfiguriert ist.

Wird ausgelöst, wenn ein IOC (File Hash) mit Bezug zu Ryuk ransomware in Ereignissen beobachtet wird.

Wird ausgelöst, wenn ein IOC (File Hash) im Zusammenhang mit Ryuk ransomware in Datenströmen beobachtet wird.

Erkennt den Versuch, nach allgemeinen Speicherorten für Passwörter zu suchen, um an Benutzerdaten zu gelangen.

Erkennt aufeinanderfolgende Versuche, nach gemeinsamen Speicherorten für Passwörter zu suchen, um an Benutzerdaten zu gelangen.

Erkennt den Versuch der Verwendung von Windows-API-Funktionen im Zusammenhang mit Token-Impersonation oder Token-Diebstahl.

Erkennt ausgehende Verbindungen, die von der regsvr32.exe-Datei initiiert werden.

Erkennt ausgehende Verbindungen, die von der dllhost.exe-Datei initiiert werden.

Erkennt ausgehende Verbindungen, die von der rundll32.exe-Datei initiiert werden.

Wird ausgelöst, wenn eine Petya-Payload in Datenströmen beobachtet wird.

Erkennt Tokenidentität und -diebstahl. (Beispiel: DuplicateToken(Ex) und ImpersonateLoggedOnUser mit dem Flag LOGON32_LOGON_NEW_CREDENTIALS)

Wird ausgelöst, wenn ein IOC als Turla-Registry-Wert erkannt wird.

Wird ausgelöst, wenn ein Verhalten festgestellt wird, das möglicherweise zu X-Force Red StandIn gehört.

Wird ausgelöst, wenn das aktuelle Arbeitsverzeichnis (CWD) in den folgenden Verzeichnissen erkannt wird:

• /boot
• /etc/pam.d
• /etc/rsyslog
• /etc/openldap
• /etc/sysconfig/network-script
• /var/spool/cron
• /etc/cron* (zum Beispiel /etc/cron.hourly, /etc/cron.weekly)
• /etc/init.d/
• bin/login
• /bin/passwd
• /etc/*.conf

Die folgenden Dateien werden überwacht:

• /etc/shadow
• /etc/passwd
• /etc/sudoers
• /etc/syslog.conf
• /etc/crontab
• /etc/gshadow
• /etc/group
• /etc/sysconfig/syslog
• /etc/security/opasswd
• /etc/default/ufw
• .bash_history
• /usr/bin
• /usr/sbin
• /bin
• /boot
• /usr/local/bin
• /usr/local/sbin
• /opt/bin
• /opt/sbin
• Windows
• C:\autoexec.bat
• C:\boot.ini
• C:\config.sys
• C:\Windows\system.ini
• C:\Windows\win.ini
• C:\Windows\regedit.exe
• C:\Windows\System32\userinit.exe
• C:\Windows\explorer.exe
• C:\Program Files\Microsoft Security Client\msseces.exe

Definiert die sensiblen aktuellen Arbeitsverzeichnisse, die Alarme für Directory-Traversal-Angriffe auslösen.

Definiert eine Regel, die ausgelöst wird, wenn das aktuelle Arbeitsverzeichnis (CWD) in den folgenden Verzeichnissen erkannt wird:

• /boot
• /etc/pam.d
• /etc/rsyslog
• /etc/openldap
• /etc/sysconfig/network-script
• /var/spool/cron
• /etc/cron* (zum Beispiel /etc/cron.hourly, /etc/cron.weekly)
• /etc/init.d/
• bin/login
• /bin/passwd
• /etc/*.conf

Die folgenden Dateien werden überwacht:

• /etc/shadow
• /etc/passwd
• /etc/sudoers
• /etc/syslog.conf
• /etc/crontab
• /etc/gshadow
• /etc/group
• /etc/sysconfig/syslog
• /etc/security/opasswd
• /etc/default/ufw
• .bash_history
• /usr/bin
• /usr/sbin
• /bin
• /boot
• /usr/local/bin
• /usr/local/sbin
• /opt/bin
• /opt/sbin
• Windows
• C:\autoexec.bat
• C:\boot.ini
• C:\config.sys
• C:\Windows\system.ini
• C:\Windows\win.ini
• C:\Windows\regedit.exe
• C:\Windows\System32\userinit.exe
• C:\Windows\explorer.exe
• C:\Program Files\Microsoft Security Client\msseces.exe

Legt fest, wann der PowerShell Get-ChildItem-Befehl verwendet wird, um Verzeichnisse rekursiv zu ermitteln. Dieses Ereignis tritt ein, wenn der Parameter -Recurse angegeben ist oder wenn der Befehl innerhalb einer ForEach-Schleife verwendet wird.

Wird ausgelöst, wenn ein Prozess im Zusammenhang mit dem Werkzeug StandIn beobachtet wird. StandIn ist ein Tool für Penetrationstests, das häufig von Red Teams eingesetzt wird. Böswillige Akteure können diese Anwendung jedoch für Angriffe nutzen.

Wird ausgelöst, wenn Persistenzbefehle im Zusammenhang mit dem Werkzeug StandIn beobachtet werden. StandIn ist ein Tool für Penetrationstests, das häufig von Red Teams eingesetzt wird. Böswillige Akteure können diese Anwendung jedoch für Angriffe nutzen.

Wird ausgelöst, wenn Befehle zum Ausweichen der Verteidigung im Zusammenhang mit dem Werkzeug StandIn beobachtet werden. StandIn ist ein Tool für Penetrationstests, das häufig von Red Teams eingesetzt wird. Böswillige Akteure können diese Anwendung jedoch für Angriffe nutzen.

Wird ausgelöst, wenn Befehle zur Rechteerweiterung im Zusammenhang mit dem Werkzeug StandIn beobachtet werden. StandIn ist ein Tool für Penetrationstests, das häufig von Red Teams eingesetzt wird. Böswillige Akteure können diese Anwendung jedoch für Angriffe nutzen.

Wird ausgelöst, wenn Aufzählungsbefehle im Zusammenhang mit dem Werkzeug StandIn beachtet werden. StandIn ist ein Tool für Penetrationstests, das häufig von Red Teams eingesetzt wird. Böswillige Akteure können diese Anwendung jedoch für Angriffe nutzen.

Wird ausgelöst, wenn ein Service für die Verwendung einer Pipe konfiguriert ist. Dies könnte auf einen Angreifer hinweisen, der über eine Berechtigungseskalation mit getsystemZugriff auf das System eines Benutzers erhält.

Erkennt den Missbrauch von MOVEit-Übertragungslücken über den Befehlszeilenindikator für Kompromittierung.

Erkennt MOVEit-Sicherheitslücken-Exploit durch Dateinamen-Indikator der Kompromittierung.

Erkennt MOVEit-Sicherheitslücken-Exploit durch Hash-Indikator der Kompromittierung.

Erkennt Schwachstellen bei der Codeausführung über Fernzugriff in Microsoft Exchange.

Microsoft hat "CVE-2022-41040" und "CVE-2022-41082" Exchange Server ausgegeben.

Erkennt Schwachstellen bei der Codeausführung über Fernzugriff in Microsoft Exchange.

Microsoft hat "CVE-2022-41040" und "CVE-2022-41082" Exchange Server ausgegeben.

Erkennt Schwachstellen bei der Codeausführung über Fernzugriff in Microsoft Exchange.

Microsoft hat "CVE-2022-41040" und "CVE-2022-41082" Exchange Server ausgegeben.

Diese Regel erkennt bekannte Windows-RCE-IPs.

Erkennt neu erstellte kritische Prozesse. Kritische Prozesse beziehen sich auf Prozesse, die potenziell von Angreifern missbraucht werden können, um böswillige Aktivitäten auszuführen. Zu den üblichen Prozessen gehören: PowerShell, cmd, mshta.

Erkennt neue Dateien, die unter temporären Verzeichnissen erstellt wurden. Bestimmte temporäre Verzeichnisse können von Widersachern verwendet werden, um schädliche Dateien zu löschen.

Erkennt kritische Prozesse, die aus Verknüpfungsdateien (lnk) in der Reihenfolge der QRadar -Regeln erstellt wurden

Erkennt kritische Prozesse, die aus Verknüpfungsdateien (lnk) in der Reihenfolge der QRadar -Regeln erstellt wurden

1. Registry-Änderungen zum Erstellen von Schlüsseln (für Persistenz)
2. Löscht das temporäre Verzeichnis für ausführbare Dateien.
3. Löscht Spiegelkopien.
4. Verschlüsselung (Dateiänderung).

Wird ausgelöst, wenn eine potenzielle Ausnutzung einer MSDT-Schwachstelle (Microsoft Support Diagnostic Tool) erkannt wird.

Microsoft hat "CVE-2022-30190" für die Sicherheitslücke in MSDT ausgegeben. Der Angreifer kann den fernen Code mit MSDT ausführen, um beliebigen Code auszuführen.

Definiert die Kommunikation mit einem potenziellen feindlichen Host, kategorisiert nach Referenzsets.

Die Referenzsets, die mit dem Präfix "XFE ATPF" beginnen, werden automatisch von der Threat Intelligence-App verwaltet und erfordern ein kostenpflichtiges Abonnement. Die anderen Referenzsets werden von der Threat Intelligence-App bereitgestellt und können verwendet werden, um Threat Intelligence-Feeds anderer Anbieter einzuschließen.

Definiert die Kommunikation mit einer potenziell feindlichen IP, kategorisiert nach Referenzsets.

Die Referenzsets, die mit dem Präfix "XFE ATPF" beginnen, werden automatisch von der Threat Intelligence-App verwaltet und erfordern ein kostenpflichtiges Abonnement. Die anderen Referenzsets werden von der Threat Intelligence-App bereitgestellt und können verwendet werden, um Threat Intelligence-Feeds anderer Anbieter einzuschließen.

Wird ausgelöst, wenn ein Dateipfad-Indikator der Kompromittierung (IoC) im Zusammenhang mit Malware as a Service (MaaS), wie z. B. Emotet-Trojaner und Trickbot-Trojaner, beobachtet wird.

IOCs werden dem Muster in diesen angepassten Verzeichnissen folgen:

• %APPDATA%\roaming\winapp\client_id
• %APPDATA%\roaming\winapp\group_tag
• %APPDATA%\system32\Tasks\services update
• %APPDATA%\system32\Tasks\MsSysToken
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\TEMP\RandomNumber.TMP

Der Referenzsatz Malware as a Service_Path ist bereits ausgefüllt. Optimieren Sie diesen Referenzsatz mit dem relevanten IOC.

• Carbon Black Response
• Endpunkt
• FireEye MPS
• Linux
• Microsoft Windows
• ObserveIT
• osquery

Wird ausgelöst, wenn ein Dateipfad-Indikator der Kompromittierung (IoC) im Zusammenhang mit Malware as a Service (MaaS), wie z. B. Emotet-Trojaner und Trickbot-Trojaner, beobachtet wird.

IOCs werden dem Muster in diesen angepassten Verzeichnissen folgen:

• %APPDATA%\roaming\winapp\client_id
• %APPDATA%\roaming\winapp\group_tag
• %APPDATA%\system32\Tasks\services update
• %APPDATA%\system32\Tasks\MsSysToken
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\TEMP\RandomNumber.TMP

Der Referenzsatz Malware as a Service_Path ist bereits ausgefüllt. Optimieren Sie diesen Referenzsatz mit dem relevanten IOC.

Wird ausgelöst, wenn ein IoC als zerstörerisch in einer Referenzsatzsammlung kategorisiert wird.

Die Regeln Malware as a Service Hash IOC in Eventsund Ransomware: Ryuk IOC in Events sind von dieser Regel ausgeschlossen, um Wiederholungen zu vermeiden. Ihr Zweck ist es, eine dedizierte Regelantwort zu haben.

Wird ausgelöst, wenn ein IoC als zerstörerisch in einer Referenzsatzsammlung kategorisiert wird.

Malware as a Service Hash IOC in Flowsund Ransomware: Ryuk IOC in Flows sind von dieser Regel ausgeschlossen, um Wiederholungen zu vermeiden. Ihr Zweck ist es, eine dedizierte Regelantwort zu haben.

Diese Regel wurde umbenannt in Übermäßig viele fehlgeschlagene Zugriffe auf eine administrative Freigabe aus derselben Quelle

Wird ausgelöst, wenn mehrere fehlgeschlagene Authentifizierungsereignisse auf derselben Maschine aus einer einzelnen Quellen-IP-Adresse erkannt werden.

Dieses Verhalten weist auf einen potenziellen Brut-Force-Versuch hin, auf eine Maschine zuzugreifen.

Diese Regel wurde in Übermäßige Anmeldefehler über RDP umbenannt.

Wird ausgelöst, wenn mehrere fehlgeschlagene Authentifizierungsereignisse auf verschiedenen Maschinen aus einer einzelnen Quellen-IP-Adresse erkannt werden.

Dieses Verhalten weist auf einen potenziellen Brut-Force-Versuch hin, auf eine Maschine zuzugreifen.

Diese Regel wurde in Übermäßige Anmeldefehler über Netzverbindung zu mehreren Maschinen umbenannt.

Wird ausgelöst, wenn ein Malware-als-Service-Verhalten beobachtet wird.

Zu diesen Verhaltensweisen gehören die Verwendung eines Download-Dienstprogramms auf dem Endpunkt und der Dateipfad, der auf einen Kompromiss hindeutet.

Wird ausgelöst, wenn ein Datei-Hash-IoC im Zusammenhang mit MaaS, wie z. B. Emotet-Trojaner und Trickbot-Trojaner, beobachtet wird.

Die Referenzsätze Malware as a Service_SHA1, Malware as a Service_SHA256 und Malware as a Service_MD5 sind bereits ausgefüllt. Optimieren Sie diese Referenzsätze mit dem relevanten IOC.

Wird ausgelöst, wenn ein Datei-Hash-IoC im Zusammenhang mit MaaS, wie z. B. Emotet-Trojaner und Trickbot-Trojaner, beobachtet wird.

Malware as a Service_SHA1, Malware as a Service_SHA256 und Malware as a Service_MD5 sind bereits ausgefüllt. Optimieren Sie diese Referenzsätze mit dem relevanten IOC.

Diese Regel wurde für Windows-Sicherheitslücken aktualisiert.

Diese Regel wurde für Ryuk Ransomware aktualisiert.

Diese Regel wurde für Ryuk Ransomware aktualisiert.

Diese Regel wurde für alle neuen Erkennungsregeln aktualisiert, die in dieser Version hinzugefügt wurden.

Wird ausgelöst, wenn eine Datei-Hash-IoC im Zusammenhang mit Ryuk-Ransomware beobachtet wird.

Die Ryuk_SHA256, Ryuk_SHA1und Ryuk_MD5 sind vorab gefüllt. Optimieren Sie diese Referenzsätze mit dem relevanten IOC.

Wird ausgelöst, wenn eine Datei-Hash-IoC im Zusammenhang mit Ryuk-Ransomware beobachtet wird.

Die Ryuk_SHA256, Ryuk_SHA1und Ryuk_MD5 sind vorab gefüllt. Optimieren Sie diese Referenzsätze mit dem relevanten IOC.

Wird ausgelöst, wenn Ryuk-Ransomware aktive Prozesse beendet, nachdem eine Kopie von sich selbst erstellt wurde.

Der Referenzsatz Ryuk Service und Prozessbeendigungsliste ist bereits ausgefüllt. Optimieren Sie diesen Referenzsatz mit den relevanten Services und Prozessen.

• Malware als Servicehash-IOC in Ereignissen
• Malware als Service-Hash-IOC in Datenflüssen

• Versuch, Schattenkopien zu löschen
• Kritische Datei gelöscht (Unix)
• RDP-Hijacking-Tool erkannt
• Wiederherstellung inaktiviert in Bootkonfigurationsdaten
• Ransomware: Ryuk-Service oder Prozessbeendigung

• Erkennung von zerstörerischer Datei oder Prozess
• Erkennung von zerstörerischer IOC
• Dateidekodierung- oder Download gefolgt von verdächtiger Aktivität
• Ransomware: BadRabbit IOC in Ereignissen
• Ransomware: BadRabbit IOC in Datenflüssen
• Ransomware: Maze IOC in Ereignissen
• Ransomware: Petya / Nicht-Petya IOC in Ereignissen
• Ransomware: Petya / Nicht-Petya IOC in Datenflüssen
• Ransomware: REvil IOC in Ereignissen
• Ransomware: WCry IOC in Ereignissen
• Ransomware: WCry IOC in Datenflüssen
• Ransomware: WCry Payload in Datenflüssen
• Ransomware-IOCs auf mehreren Maschinen erkannt
• Ransomware: Ryuk IOC in Ereignissen
• Ransomware: Ryuk IOC in Datenflüssen
• Verschlüsselte Ransomware-Dateierweiterung

• Cobalt Strike-Verhalten erkannt
• Übermäßig viele fehlgeschlagene Zugriffe auf eine administrative Freigabe aus derselben Quelle
• Übermäßige Nslookup-Nutzung
• Ausspäh-Tool erkannt

• Übermäßige Dateilöschung- und Erstellung
• Verschlüsselte Ransomware-Dateierweiterung
• Ransomware: Verdächtige Maze-Dateiübertragung
• Verdächtige Anzahl von Dateien, die auf demselben Rechner gelöscht wurden
• Verdächtige Anzahl von Dateien, die auf demselben Rechner umbenannt wurden (Windows)
• Verdächtige Anzahl von umbenannten/verschobenen Dateien auf demselben Rechner (Unix)

• ls -d
• find -type d
• ls -r

Bearbeiten Sie den Baustein BB:CategoryDefinition: Files with Sensitive Permissions mit den Dateien oder Verzeichnissen, die überwacht werden sollen. Diese Positionen sollten sich auf das Booten, Sichern, Protokollieren oder auf Berechtigungen beziehen, die bei der Nutzung eine höhere Bewertung aufweisen.

• Minergate
• Neshta
• Slayer Leecher
• NLBrute (NL)
• EternalBlue
• MimiKatz / MimiPenguin

• ngrok, das zum Öffnen von Verbindungen verwendet werden kann, die eine Firewall umgehen
• tscon, ein natives Windows-Tool, das verwendet werden kann, um eine andere aktive RDP-Sitzung zu kapern

• BloodHound und das dazugehörige Datenaufnahme-Tool SharpHound ist eine Anwendung, die dazu dient, versteckte und unbeabsichtigte Beziehungen innerhalb einer Active Directory-Umgebung abzubilden. Angreifer können diese Tools nutzen, um Angriffswege leicht zu erkennen.
• PingCastle ist ein Tool, das häufig von Unternehmen verwendet wird, um die Sicherheit ihrer Active Directory zu bewerten. Böswillige Akteure können dieses Tool verwenden, um Schwachstellen in der Umgebung zu erkennen.
• Advanced IP Scanner ist ein Netzscanner, der für die Fernsteuerung von Geräten in einer Umgebung verwendet werden kann. Dieses Tool kann während einer Ransomware-Attacke verwendet werden, um eine Lateralausbreitung zu ermöglichen.
• AdFind ist ein Befehlszeilentool für Active Directory-Abfragen. Es kann verwendet werden, um schnell Schwachstellen innerhalb einer Active Directory-Konfiguration zu identifizieren.
• Everything (oder ES) ist ein Suchprogramm, mit dem Sie Dateien und Ordner schneller finden können. Diese Funktionalität kann Ransomware aktivieren, um Informationen über alle Dateien und Ordner für spätere Verschlüsselung zu sammeln.
• Masscan ist ein Port-Scan-Tool. Es wird häufig von Angreifern verwendet, um potenziell gefährdete Ports aufzulisten. Diese Tools können auch von Red Teams verwendet werden und sind nicht per se gefährlich, aber böswillige Akteure können sie verwenden, um eine Umgebung zu untersuchen, bevor sie sie angreifen.

• Cisco AMP
• Cisco Firepower
• Linux
• Microsoft Office 365
• Microsoft Windows
• osquery
• Microsoft 365 Defender

• Amazon AWS
• Blue Coat
• Cisco AMP
• Cisco Ironport
• McAfee EPO
• Microsoft Office 365
• Microsoft Windows
• osquery
• Postfix
• Squid
• Microsoft 365 Defender

• Linux
• osquery

• Amazon AWS
• Azure
• Bit9 Security Platform
• Blue Coat
• Carbon Black Protection
• Cisco AMP
• Cisco Firepower
• Cisco Ironport
• Endpunkt
• FireEye MPS
• Fortinet FortiAnalyzer
• Linux
• McAfee EPO
• Microsoft Office 365
• Microsoft Windows
• osquery
• Palo Alto PA Series
• Postfix
• Squid
• Sysmon
• VMware
• Microsoft 365 Defender

• Linux
• Microsoft Windows

• Linux
• Microsoft Windows

• Cisco AMP
• Microsoft 365 Defender
• Microsoft Windows

• osquery
• Microsoft Windows

• Carbon Black Response
• Kubernetes
• Microsoft Windows
• osquery
• Sysmon

• Carbon Black Response
• Endpunkt
• FireEye MPS
• Linux
• Microsoft Windows
• ObserveIT
• osquery

• Carbon Black Response
• Microsoft Windows

• Cisco AMP
• Microsoft 365 Defender
• osquery
• Sysmon

• Amazon AWS
• Azure
• Kubernetes
• Microsoft Office 365
• Microsoft Windows
• osquery
• VMware

• Blue Coat
• Cisco Ironport
• IBM Cloud Discovery App für QRadar
• McAfee EPO
• Squid
• Microsoft 365 Defender

• Azure
• Linux
• osquery

• Startet mit einem Punkt
• Startet mit einem Punkt und enthält ein Leerzeichen
• Basiert auf Berechtigungen (z. B. -rwx------)

• /etc/login.defs
• /etc/pam.d/common-password
• /etc/pam.d/system-auth
• /etc/security/pwquality.conf

• /boot/
• /etc/pam.d/
• /etc/shadow
• /etc/passwd
• /etc/rsyslog/
• /etc/openldap/
• /etc/sysconfig/syslog
• /etc/syslog.conf
• /etc/sysconfig/network-scripts/
• /etc/default/ufw
• /etc/sudoers

• Durchsuchen der Registry nach Kennwörtern, die vom System oder anderen Programmen verwendet werden können
• Erstellen von Speicherauszügen für einen Hash mithilfe des Security Accounts Manager (SAM)
• Ändern der WDigest-Registry, um das Speichen von Klartextkennwörtern zu ermöglichen.

Die folgenden AQL-Filterbedingungen zeigen Methoden zur Erstellung von Speicherauszügen für Berechtigungsnachweise an, die in dieser Regel implementiert sind. Jede Methode kann mit diesen AQL-Filtern zur Optimierung separat implementiert werden.

1. Ein Angreifer kann Registrierungsschlüssel durchsuchen, indem er nach Kennwortwerten sucht: wenn das Ereignis mit LOWER ("Process CommandLine") MATCHES 'reg\s + query. * password. *' übereinstimmt. AQL-Filterabfrage.
2. Es kann ein Speicherauszug für die Gruppe von Registrierungsschlüsseln erstellt werden und diese können von einem Angreifer zu böswilligen Zwecken ausgeleitet werden. Dies ist ein Hinweis auf die Erstellung von Speicherauszügen für Berechtigungsnachweise über den Security Accounts Manager (SAM): Wenn das Ereignis mit der AQL-Filterabfrage LOWER("Process CommandLine") MATCHES 'reg.*save.*(sam|system|security)' übereinstimmt.
3. Diese Änderung des Registrierungsschlüssels zwingt wdigest, Berechtigungsnachweise in Klartext zu speichern, wenn sich jemand das nächste Mal bei diesem System anmeldet: wenn das Ereignis mit LOWER("Process CommandLine) MATCHES 'reg\s+(add|query).*uselogoncredential.*' übereinstimmt. AQL-Filterabfrage, wenn das Ereignis mit der AQL-Filterabfrage LOWER("Registry Key") MATCHES '\\system\\(controlset001|controlset002|currentcontrolset).*wdigest' übereinstimmt.

• %WINDIR%\AppPatch\Custom
• %WINDIR%\AppPatch\CustomSDB
• %WINDIR%\AppPatch\AppPatch64\Custom