TurlaCity in Türkei

Verwenden Sie die IBM Security QRadar Techniques for Turla Content Extension, um Ihren Einsatz genau auf Turla-Malware zu überwachen.

Wichtig: Um Inhaltsfehler in dieser Inhaltserweiterung zu vermeiden, halten Sie die zugehörigen DSMs auf dem neuesten Stand. DSMs werden im Rahmen der automatischen Aktualisierungen aktualisiert. Wenn keine automatischen Updates aktiviert sind, laden Sie die neueste Version der zugehörigen DSMs von IBM® Fix Central (https://www.ibm.com/support/fixcentral) herunter.

IBM Security QRadar Verfahren für Turla Content Extension

IBM Security QRadar für Turla Content Extension 1.1.1

Ein Installationsproblem wurde behoben.

IBM Security QRadar für Turla Content Extension 1.1.0

Die folgende Tabelle zeigt die Regeln, die in IBM Security QRadar Techniques for Turla Content Extension 1.1.0 aktualisiert wurden

Tabelle 1. Regeln und Bausteine in IBM Security QRadar Techniques for Turla Content Extension 1.1.0
ID UUID Ihren Namen Status
101789 ca5af962-d8e5-43fb-b8ef-bf77cf35d144 Änderung des Windows-Registrierungsvertrauensdatensatzes Entfernt
102489 c72ed449-4151-4f4e-a076-d4f1064fbcfb GAC DLL wird über Office-Anwendung geladen Entfernt
102989 7e789e38-4b5b-4ca5-b4f4-282ce65a672e Dateien mit Attrib verstecken Entfernt
104189 c673847d-b064-496b-9388-163a12d062a1 Verdächtige Elevated System Shell Entfernt
104389 d6697cf6-da5b-498f-9d5d-c4d696aecf76 Entdeckung verdächtiger Prozesse mit Get-Process Entfernt
105289 0dd7a45e-c1b5-467f-a990-f37380924769 Eingabeerfassung mit Maussperre Entfernt
105539 a3442bb0-9bf4-4c79-a62c-7b8f1062e3bf Verdächtiges Scripting in einem WMI-Verbraucher Entfernt
105689 5e68889d-181b-43c7-a48c-2bebb443fcd4 Erstellung von verdächtigen ausführbaren Dateien Entfernt
105889 ab17bf9c-f51f-4457-8c5b-f591ad581af9 Befehl wird über SettingContent-ms ausgeführt Entfernt
106789 d2084bdb-9aa2-4c3f-b53b-efc531070d01 Systemeigentümer oder Benutzer entdeckenLinux) Entfernt
107139 4b17de68-6a95-44b3-a395-4fe3eb8c532a Steganographie mit RAR Entfernt
107389 68a203e4-83ca-4455-9436-af4ed2bac6c6 Verdächtige ausgehende SMTP-Verbindungen Entfernt
109439 7631b777-2ae0-4c4a-a17c-f948d1952f09 DNS- HybridConnectionManager -Service-Bus Entfernt
109639 3f22b3ad-4abf-47ce-bd96-c509478b96a0 Remote-Threaderstellung in verdächtigen Zielen Entfernt
110039 ba7ba2d7-21da-4fd5-92ed-548f0656bc96 PowerShell DownloadFile Entfernt
110139 f80a6187-a4cd-48ce-84de-dbd800d7f5c2 Erstellung von Schattenkopien mit Dienstprogrammen des Betriebssystems Entfernt
111189 60182f70-816d-4126-bd08-686b87adc18f Nicht-Standard-Anschlussverwendung Entfernt
111389 acec599f-cbb8-4a07-9c2f-7196e2c4db5b Ausführung von Hijacked Binary erkannt Entfernt
111439 bfce7e64-7ae2-4b6a-9880-9ab7f34a7a7e Ausgeben von Anmeldeinformationen aus dem Windows-Anmeldeinformationsmanager mit PowerShell Entfernt
111639 68f4a158-d191-4c18-b3ff-1eeb72893d35 Änderung von Datei- und Verzeichnisberechtigungen (Windows) Entfernt
111689 21511f9a-60cc-4cf4-83cc-80f353bdd87a Kommunikation mit EquationGroup C2 Tools Entfernt
112089 8e281e72-6e60-4aa2-90b2-a2f471f3afb0 Potenzielles System-DLL-Sideloading von Nicht-System-Speicherorten Entfernt
112239 1fdab5bc-3dde-44b5-a7e0-c3464681c8aa Übermäßige Anzahl von nslookup aus Powershell Entfernt
112439 5b5a233f-e523-4351-9754-6f7766da9c2a Verdächtige PowerShell Entfernt
112589 f51a88e7-6df9-4766-ad1d-63a5bc5a04f4 Verdächtiger Unterprozess von RazerInstaller Entfernt
112989 45d2bc80-18ab-4c76-87ea-f2f76af7269f Verdächtige WMIC-Ausführung Entfernt
113139 e9b66c89-0ab6-4b10-a29e-c292c7125221 Python Core Image Load erkannt Entfernt
113339 d6230b09-465d-48ce-9da9-6a961b750923 Ferndienstaktivität über SVCCTL Named Pipe Entfernt
113539 5e32ab21-e0f1-46c5-b852-179d947cb7b7 Prozessinjektion über Maldoc Entfernt
113939 5283d971-2d12-4ad1-846a-dd390805795a Benutzererstellung unter Ausnutzung der Fortinet-Schwachstelle Entfernt
114689 f1a88d5f-0ff3-4657-9158-b980a2eb619e Verdächtiger Kopierbefehl von Admin-Freigabe Entfernt
114989 8faa6e7d-06b3-4cc8-916f-dadc44e7c3d1 Herunterladen von Nutzdaten mit der Edge Headless-Funktion Entfernt
115639 bf96a45a-caa8-492a-a767-e18eaf67fdd0 Verdächtiger geplanter Task Entfernt
115989 58f5d85e-348d-4b30-8d1b-5a53e01c6c83 COM Hijacking mit verdächtigen Standorten Entfernt
116939 c7080f3e-ee57-41ea-81ea-5b3c8bafd511 Verdächtige Ausführung der GRP-Dateikonvertierung Entfernt
117539 3e84e969-1b26-43bd-a5c3-d71ba1522404 Installation des Hybrid Connection Manager-Dienstes Entfernt
117789 35b8c9c3-f245-4963-8295-aa38e1cc69bf Bösartige PowerShell Entfernt
117889 4f5311e5-415b-4f34-96fb-de5b449ef6fc Python Py2Exe Bild laden Entfernt
118639 8973a03b-53af-4f7a-91f6-dff57cca9eae VirtualBox installiert oder gestartet Entfernt
119239 0693f1d6-8395-4da2-98f5-9143ae33d40c Verdächtige Get-Variable-Erstellung Entfernt
119589 95a723c3-9fb5-432f-a7d8-5c64f04ee88c Ausführung von Dnscat Entfernt
119789 d882d5f3-5271-4663-8f4d-63cc404cc7ec Verwertung von EQNEDT32 Entfernt
119889 4d12762c-4c6e-4bf4-bf07-bde7cbf982cf Dateierstellung durch nicht privilegierte Prozesse im Verzeichnis "Programme Entfernt
120589 12485c79-d173-4982-98d1-b5b92c02f51f Anfälliger Treiber geladen Entfernt
120689 23c071b7-bbf4-4c26-909d-2772d5158116 Potenzielle Exchange-Exploit-Aktivität entdeckt Entfernt
121889 d7aa4426-0a14-4091-9c93-7e602c115f3c CrashDump über die Registrierung deaktivieren Entfernt
122039 621d2016-ca3b-491c-a89e-80602160b83a Geänderte Outlook-Sicherheitseinstellungen in der Registrierung Entfernt
122339 57b53d3a-e472-4a11-b5a7-93f67e698c74 Verdächtige NTDS-Prozess-Schreibvorgänge Entfernt
122389 eefba06b-2805-4c9e-9149-ba6008a4ab35 Zugang zu ADMIN$-Aktien Entfernt
122439 f453815d-c8cd-4123-85dc-73816faaf2ed In Stücke geteilte Daten (Mac) Entfernt
122639 9c5e3487-7153-4947-a4ee-b601df12d474 Curl Download und Ausführungskombination Entfernt
123239 0c7aa57b-4d8b-4039-be77-da4c9d238486 Ryuk Ransomware Befehlszeilenaktivität entdeckt Entfernt
127639 45fbda19-077b-4ef7-9557-6b1e82e4d69d Ausführbare Datei, die von einer anderen ausführbaren Datei erstellt wurde Entfernt
127689 f275a4c8-2a9a-43e6-8bb4-9d66944bc90a Get-ADUser Benutzerermittlung und Export Entfernt

IBM Sicherheit QRadar Techniken für Turla Content Extension 1.0.4

Die folgende Tabelle zeigt die Regeln, die in IBM Security QRadar Techniques for Turla Content Extension 1.0.4 aktualisiert wurden.

Tabelle 2. Benutzerdefinierte Eigenschaften aktualisiert in IBM Sicherheit QRadar Techniken für Turla Content Extension 1.0.4
Ihren Namen Optimiert Beschreibung
Schlüssellänge Ja Dieser Eigenschaftstyp wird von alphanumerisch auf numerisch geändert.

IBM Sicherheit QRadar Techniken für die Turla-Inhaltserweiterung 1.0.3

Die folgende Tabelle zeigt die Regeln, die aktualisiert wurden in IBM Sicherheit QRadar Techniken für die Turla-Inhaltserweiterung 1.0.3.

Tabelle 3. Regeln und Bausteine in IBM Sicherheit QRadar Techniken für die Turla-Inhaltserweiterung 1.0.3
Typ Ihren Namen Beschreibung
Regel Übergeben der Hash-Aktivität Erkennt die Angriffstechnik und übergibt den Hash, der für die seitliche Bewegung innerhalb des Netzwerks verwendet wird.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Übergeben der Hash-Aktivität bei Netzwerkanmeldungen Erkennt die Angriffstechnik und übergibt den Hash, der für die seitliche Bewegung innerhalb des Netzwerks verwendet wird.

Verwendet unter der Detection Rule License 1.1.

IBM Security QRadar Verfahren für Turla Content Extension 1.0.2

Die folgende Tabelle zeigt die Regeln, die in IBM Security QRadar Techniques for Turla Content Extension 1.0.2aktualisiert wurden.

Tabelle 4. Regeln und Bausteine in IBM Security QRadar Techniques for Turla Content Extension 1.0.2
Typ Ihren Namen Beschreibung
Regel Ausführung der DNS Exfiltration Tools Erkennt die Ausführung des DNS-Exfiltrationswerkzeugs. Basiert auf der Execution-Sigma-Regel DNS Exfiltration and Tunneling Tools von Daniil Jugoslavskiy und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Einschränkungen für ferne Benutzerkontensteuerung inaktiviert Erkennt Änderungen an der Registry, die ferne Verwaltungsaktionen zulassen. Basiert auf der Regel "Disable UAC Remote Restriction Sigma" von Steven Dick, Teoderick Contreras und Splunk

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtiger Unterprozess von RazerInstaller Erkennt verdächtige Unterprozesse aus RazerInstaller.exe. Basiert auf der Sigma-Regel Suspicious RazerInstaller Explorer Subprocess von Florian Roth und Maxime Thiebaut.

Verwendet unter der Detection Rule License 1.1.

IBM Security QRadar Verfahren für Turla Content Extension 1.0.1

In der folgenden Tabelle sind die angepassten Eigenschaften aufgeführt, die in IBM Security QRadar Techniques for Turla Content Extension 1.0.1aktualisiert wurden.

Tabelle 5. Angepasste Eigenschaften, aktualisiert in IBM Security QRadar Techniques for Turla Content Extension 1.0.1
Ihren Namen Optimiert Beschreibung
Befehlseigenschaftendefinition Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Extraktion der Befehlseigenschaft aus DSM-Nutzdaten.
Eigenschaftsdefinition für übergeordneten Prozesspfad Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion des übergeordneten Prozesspfads aus DSM-Nutzdaten.

Die folgende Tabelle enthält die Regeln und Bausteine, die in IBM Security QRadar Techniques for Turla Content Extension 1.0.1aktualisiert wurden.

Tabelle 6. Regeln und Bausteine in IBM Security QRadar Techniques for Turla Content Extension 1.0.1
Typ Ihren Namen Beschreibung
Regel Kommunikation mit EquationGroup C2 Tools Erkennt die Kommunikation mit C2 -Servern. Basierend auf der Gleichungsgruppe C2 Communication Sigma Regel von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Befehl ausgeführt über SettingContent-ms Erkennt Befehle, die ausgeführt werden durch SettingContent-ms. Basierend auf der Regel „Beliebige Shell-Befehlsausführung durch Settingcontent-Ms Sigma“ von Sreeman.

Verwendet unter der Detection Rule License 1.1.
Regel Ausführung der DNS Exfiltration Tools Erkennt die Ausführung des DNS-Exfiltrationswerkzeugs. Basiert auf der Execution-Sigma-Regel DNS Exfiltration and Tunneling Tools von Daniil Jugoslavskiy und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Einschränkungen für ferne Benutzerkontensteuerung inaktiviert Erkennt Änderungen an der Registry, die ferne Verwaltungsaktionen zulassen. Basiert auf der Regel "Disable UAC Remote Restriction Sigma" von Steven Dick, Teoderick Contreras und Splunk

Verwendet unter der Detection Rule License 1.1.
Regel Erstellung von Spiegelkopien mit Dienstprogrammen des Betriebssystems Erkennt mögliche Szenarios für den Zugriff auf Berechtigungsnachweise, bei denen Spiegelkopien mithilfe von Betriebssystemdienstprogrammen erstellt werden. Basiert auf der Regel 'Shadow Copies Creation Using Operating Systems Utilities Sigma' von Teymur Kheirkhabarov, Daniil Jugoslavskiy und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Von Web-Servern gestartete Shells Erkennt Web-Server, die Shellprozesse generieren, die möglicherweise das Ergebnis einer erfolgreich platzierten Web-Shell oder eines anderen Angriffs sind. Basierend auf der Regel Shells Spawned by Web Servers Sigma von Thomas Patzke, Florian Roth (Nextron-Systeme), Zach Stanford @svch0st, Tim Shelton und Nasreddine Bencherchali (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Regel Active Directory Gruppen-/Computeraufzählung Wird ausgelöst, wenn eine Gruppe oder ein Computer in Active Directorygezählt wird. Basierend auf Active Directory Gruppenaufzählung mit Get-AdGroup Und Active Directory Computer-Aufzählung mit Get-AdComputer Sigma regiert durch frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Get-ADUser User User Discovery and Export Wird ausgelöst, wenn das Cmdlet Get-ADUser verwendet wird, um Benutzerinformationen zu erfassen und in einer Datei auszugeben. Basierend auf der User Discovery und Export via Get-ADUser Cmdlet- PowerShell Sigma Regel von Nasreddine Bencherchali (Nextron Systems).

Verwendet unter der Detection Rule License 1.1.

IBM Security QRadar Verfahren für Turla Content Extension 1.0.0

In der folgenden Tabelle sind die angepassten Eigenschaften in IBM Security QRadar Techniques for Turla Content Extension 1.0.0aufgeführt.

Tabelle 7. Benutzerdefinierte Eigenschaften in IBM Security QRadar Techniques for Turla Content Extension 1.0.0
Ihren Namen Optimiert Beschreibung
Zugriffsmaske Ja Diese Eigenschaft ist ein Platzhalter für den benutzerdefinierten Standardauszug der Zugriffsmaske aus DSM-Nutzdaten.
Zugänge Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Extraktion von Zugriffe aus DSM-Nutzdaten.
Kontoname Ja Diese Eigenschaft ist ein Platzhalter für den benutzerdefinierten Standardauszug des Kontonamens der DSM-Nutzdaten.
Kontosicherheits-ID Nein Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von Kontosicherheits-IDs aus DSM-Nutzdaten.
Protokollierungs-ID Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion der Prüf-ID aus DSM-Nutzdaten.
Authentifizierungspaket Ja Diese Eigenschaft ist ein Platzhalter für den benutzerdefinierten Standardauszug des Authentifizierungspakets aus DSM-Nutzdaten.
Aufruftrace Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Extraktion von Aufruftrace aus DSM-Nutzdaten.
Aufruftyp Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion des Aufruftyps aus DSM-Nutzdaten.
Befehl Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von Befehl aus DSM-Nutzdaten.
Befehlsargumente Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Extraktion von Befehlsargumenten aus DSM-Nutzdaten.
Konsumentenziel Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von Konsumentenziel aus DSM-Nutzdaten.
Beschreibung Nein Diese Eigenschaft ist ein Platzhalter für den benutzerdefinierten Standardauszug der Beschreibung der DSM-Nutzdaten.
Destination Hostname (Zielhostname) Ja Diese Eigenschaft ist ein Platzhalter für den angepassten Standardauszug des Zielhostnamens der DSM-Nutzdaten.
Fehlercode Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Extraktion von Fehlercode aus DSM-Nutzdaten.
Erweiterter Fehlercode Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion des erweiterten Fehlercodes ( Extended Error Code ) aus DSM-Nutzdaten.
Dateiverzeichnis Ja Diese Eigenschaft ist ein Platzhalter für den benutzerdefinierten Standardauszug des Dateiverzeichnisses der DSM-Nutzdaten.
Dateierweiterung Ja Diese Eigenschaft ist ein Platzhalter für den benutzerdefinierten Standardauszug der Dateierweiterung der DSM-Nutzdaten.
Dateipfad Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von Dateipfad aus DSM-Nutzdaten.
Dateiname Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von Dateiname aus DSM-Nutzdaten.
Erteilter Zugriff Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Extraktion von Erteiltem Zugriff aus DSM-Nutzdaten.
Gruppenname Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von Gruppenname aus DSM-Nutzdaten.
Identitätswechsel Ja Diese Eigenschaft ist ein Platzhalter für die standardmäßige angepasste Extraktion der Identitätswechselebene aus DSM-Nutzdaten.
Eingeleitet Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von Initiated aus DSM-Nutzdaten.
Initiator Username (Benutzername des Initiators) Ja Diese Eigenschaft ist ein Platzhalter für den angepassten Standardauszug des Initiatorbenutzernamens aus DSM-Nutzdaten.
Integritätsebene Ja Diese Eigenschaft ist ein Platzhalter für die standardmäßige angepasste Extraktion der Integritätsstufe aus DSM-Nutzdaten.
Anmeldeprozess Ja Diese Eigenschaft ist ein Platzhalter für die standardmäßige benutzerdefinierte Extraktion des Anmeldeprozesses aus DSM-Nutzdaten.
Logon Type (Anmeldetyp) Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion des Anmeldetyps aus DSM-Nutzdaten.
Machine Identifier (Maschinen-ID) Ja Diese Eigenschaft ist ein Platzhalter für die standardmäßige benutzerdefinierte Extraktion der Maschinen-ID aus DSM-Nutzdaten.
MD5-Hash Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von MD5 Hash aus DSM-Nutzdaten.
Parent Command (Übergeordneter Befehl) Ja Diese Eigenschaft ist ein Platzhalter für die standardmäßige benutzerdefinierte Extraktion des übergeordneten Befehls aus DSM-Nutzdaten.
Parent Process Name (Name des übergeordneten Prozesses) Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von Name des übergeordneten Prozesses aus DSM-Nutzdaten.
Pfad des übergeordneten Prozesses Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion des übergeordneten Prozesspfads aus DSM-Nutzdaten.
Pipe Name (Pipename) Ja Diese Eigenschaft ist ein Platzhalter für den angepassten Standardauszug des Pipe-Namens aus DSM-Nutzdaten.
Prozessname Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Extraktion von Prozessname aus DSM-Nutzdaten.
Process Path (Prozesspfad) Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von Prozesspfad aus DSM-Nutzdaten.
Eigenschaften Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von Eigenschaften aus DSM-Nutzdaten.
Registrierungsschlüssel Ja Diese Eigenschaft ist ein Platzhalter für den angepassten Standardauszug des Registrierungsschlüssels aus DSM-Nutzdaten.
Registrierungswertdaten Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von Registry Value Data aus DSM-Nutzdaten.
Relativer Zielname Nein Diese Eigenschaft ist ein Platzhalter für den benutzerdefinierten Standardauszug Relativer Zielname der DSM-Nutzdaten.
Service Filename (Servicedateiname) Ja Diese Eigenschaft ist ein Platzhalter für die angepasste Standardextraktion von Servicedateiname aus DSM-Nutzdaten.
Servicename Ja Diese Eigenschaft ist ein Platzhalter für den angepassten Standardauszug des Servicenamens der DSM-Nutzdaten.
SHA256-Hash Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von SHA256 Hash aus DSM-Nutzdaten.
Share Name (Freigabename) Ja Diese Eigenschaft ist ein Platzhalter für den benutzerdefinierten Standardauszug des Freigabenamens aus DSM-Nutzdaten.
Start Function (Startfunktion) Ja Diese Eigenschaft ist ein Platzhalter für den benutzerdefinierten Standardauszug der Startfunktion von DSM-Nutzdaten.
Start Module (Startmodul) Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion des Startmoduls aus DSM-Nutzdaten.
Subjektkontoname Ja Diese Eigenschaft ist ein Platzhalter für die standardmäßige benutzerdefinierte Extraktion von Subjektkontonamen aus DSM-Nutzdaten.
Sicherheits-ID des Zielkontos Nein Diese Eigenschaft ist ein Platzhalter für den angepassten Standardauszug der Sicherheits-ID des Zielkontos aus DSM-Nutzdaten.
Zieldetails Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Extraktion von Zieldetails aus DSM-Nutzdaten.
Zieldateiverzeichnis Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion des Zieldateiverzeichnisses aus DSM-Nutzdaten.
Zielobjekt Ja Diese Eigenschaft ist ein Platzhalter für den benutzerdefinierten Standardauszug des Zielobjekts der DSM-Nutzdaten.
Target Process Name (Zielprozessname) Nein Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von Zielprozessname aus DSM-Nutzdaten.
Target Process Path (Zielprozesspfad) Nein Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Extraktion von Zielprozesspfad aus DSM-Nutzdaten.
Target Username (Zielbenutzername) Ja Diese Eigenschaft ist ein Platzhalter für die benutzerdefinierte Standardextraktion von Zielbenutzername aus DSM-Nutzdaten.
Typ Nein Diese Eigenschaft ist ein Platzhalter für den angepassten Standardauszug des Typs der DSM-Nutzdaten.
URL Host (URL-Host) Ja Diese Eigenschaft ist ein Platzhalter für die standardmäßige benutzerdefinierte Extraktion von URL aus DSM-Nutzlasten.

In der folgenden Tabelle sind die Regeln und Bausteine in IBM Security QRadar Techniques for Turla Content Extension 1.0.0aufgeführt.

Tabelle 8. Regeln und Bausteine in IBM Security QRadar Techniques for Turla Content Extension 1.0.0
Typ Ihren Namen Beschreibung
Baustein BB:BehaviorDefinition: Missbrauch von Findstr Erkennt Missbrauch von findstr für Umgehung. Angreifer können findstr verwenden, um ihre Artefakte auszublenden oder nach bestimmten Zeichenfolgen zu suchen und den Abwehrmechanismus zu umgehen. Basierend auf der Sigma-Regel Abusing Findstr for Defense Evasion von Furkan CALISKAN, @caliskanfurkan_, @oscd_initiativeund Nasreddine Bencherchali.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Missbrauch der ausführbaren Datei „Print“ Erkennt die Verwendung von print.exe für Remote File Copy. Basierend auf der Sigma-Regel Abusing Print Executable von Furkan CALISKAN, @caliskanfurkan_und @oscd_initiative.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Manipulation des Kontos – verdächtige Gründe für fehlgeschlagene Anmeldung Erkennt ungewöhnliche Fehlercodes bei fehlgeschlagenen Anmeldeversuchen, um verdächtige Aktivitäten zu ermitteln und Konten zu manipulieren, die inaktiviert oder eingeschränkt wurden
Baustein BB:BehaviorDefinition: Umgehung der Anwendungs-Whitelist über Bginfo Erkennt die Ausführung von VBScript-Code, auf den in der Datei *.bgi verwiesen wird. Basierend auf der Sigma-Regel Application Whitelisting Bypass via Bginfo von Beyu Denis und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Beliebige Befehlsausführung mit WSL Erkennt die mögliche Verwendung der Binärdatei des Windows-Subsystems für Linux® (WSL) als LOLBIN zum Ausführen beliebiger Linux -und Windows-Befehle. Basiert auf der Sigma-Regel Willkürliche Befehlsausführung mit WSL von oscd.community, Zach Stanford @svch0stund Nasreddine Bencherchali (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Atbroker-Registrierungsänderung Erkennt die Erstellung oder Änderung von Anwendungen für Technologie für behindertengerechte Bedienung und Persistenz mit der Verwendung von 'at'. Basiert auf der Sigma-Regel Atbroker Registry Change von Mateusz Wydra und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Atlassian Confluence-Spawning Erkennt die Generierung verdächtiger untergeordneter Prozesse durch den Atlassian Confluence-Server und kann auf eine erfolgreiche Ausnutzung hinweisen. Basiert auf der Regel Atlassian Confluence CVE-2021-26084 Sigma von Bhabesh Raj.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Automatisierter Sammelbefehl PowerShell Erkennt einen Angreifer mithilfe automatisierter Verfahren zur Erfassung interner Daten. Basiert auf der Automated Collection Command PowerShell Sigma-Regel von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Eingabeaufforderung für die automatische Sammlung Erkennt einen Angreifer mithilfe automatisierter Verfahren zur Erfassung interner Daten. Basiert auf der Sigma-Regel Automated Collection Command Prompt von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verwendung unsicherer Optionen in BPFtrace Erkennt die Verwendung der unsicheren Option bpftrace. Basiert auf der Sigma-Regel BPFtrace Unsafe Option Usage von Andreas Hunkeler (@Karneades)

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: C2 Sitzung über ICMP Erkennt C2 -Sitzung über ICMP.
Baustein BB:BehaviorDefinition: Carbon-Dateinamen Erkennt, wenn ein Carbon-Dateiname erkannt wird Die erste Gruppe von Namen stammt aus Carbon 3.7x, die zweite Gruppe von Namen aus Carbon 3.8x.
Baustein BB:BehaviorDefinition: Name des Carbon-Dienstes Erkennt die Installation eines Carbon-Service.
Baustein BB:BehaviorDefinition: Löschen des Windows-Konsolenverlaufs Gibt an, wann ein Benutzer versucht, das Konsolenprotokoll zu löschen Ein Angreifer kann das Befehlsprotokoll eines manipulierten Kontos löschen, um die Aktionen zu verbergen, die während eines unbefugten Zugriffs ausgeführt werden. Basiert auf der Sigma-Regel Clearing Windows Console History von Austin Songer @austinsonger.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: ComRAT Registry-Installation Erkennt, wenn ein ComRAT -Service installiert ist und Nutzdaten in die Registry geschrieben werden. Dies kann auf einen vorhandenen Zugriff wie z. B. manipulierte Berechtigungsnachweise oder eine zuvor installierte Backdoor hinweisen.
Baustein BB:BehaviorDefinition: ComRAT Geplante Aufgabenerstellung Erkennt das Erstellen neuer geplanter Tasks. ComRAT verwendet geplante Task zum Ausführen von Befehlen.
Baustein BB:BehaviorDefinition: Allgemeine Aufklärungsbefehle Erkennt allgemeine Ausspähungsbefehle, die Angreifer ausführen, um Informationen zum Opfer zusammenzustellen.

Die Regel kann durch das Feld Process CommandLine optimiert werden. Im Folgenden sind einige allgemeine Schlüsselwörter für Process CommandLine aufgeführt:

  • gpresult /z
  • gpresult /v
  • gpresult
  • nbtstat -n
  • net view
  • net view /domain
  • netstat
  • netstat -nab
  • netstat -nao
  • nslookup 127.0.0.1
  • ipconfig /all
  • arp -a
  • net share
  • net use
  • systeminfo
  • net user
  • net user administrator
  • net user /domain
  • net group
  • net group /domain
  • net localgroup
  • net localgroup Administrators
  • net group 'Domain Computers' /domain
  • net group 'Domain Admins' /domain
  • net group 'Domain Controllers' /domain
  • dir '%programfiles%'
  • net group 'Exchange Servers' /domain
  • net accounts
  • net accounts /domain
  • net view 127.0.0.1 /all
  • net session
  • route
  • ipconfig /displaydns
Baustein BB:BehaviorDefinition: Erstellen von Cron-Dateien Erkennt die Erstellung von Cron-Dateien in Cron-Verzeichnissen. Basiert auf der Sigma-Regel Persistence Via Cron Files von Roberto Rodriguez (Cyb3rWard0g), OTR (Open Threat Research) und MSTIC.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Crutch-Datei-Staging Erkennt, wenn eine Crutch-Datei unter der Position C:\AMD\Temp zwischengespeichert wird.
Baustein BB:BehaviorDefinition: Crutch-Dateinamen Erkennt, wenn Crutch-Dateien unter C:\Intel erkannt werden. Crunch-Dateien können Folgendes enthalten:
  • outllib.dll
  • finder.exe
  • resources.dll
  • outlook.dat
  • ihlp.exe
  • msget.exe
Baustein BB:BehaviorDefinition: Curl Start Kombination und VBS Execute Arbitrary PowerShell Code Erkennt die Ausführung beliebigen PowerShell -Codes mithilfe von SyncAppvPublishingServer.vbs. Angreifer können 'curl' verwenden, um Nutzdaten fern herunterzuladen und auszuführen. Basiert auf der Sigma-Regel Curl Download And Execute Combination von Sreeman und Nasreddine Bencherchali (Nextron-Systeme)

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: DLL-Ausführung über Register-cimprovider.exe Erkennt die Verwendung von register-cimprovider.exe zum Ausführen beliebiger DLL-Dateien. Basiert auf der DLL Execution Via Register-cimprovider.exe Sigma-Regel von Ivan Dyachkov, Yulia Fomina und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: DLL-Ausführung über Rasautou Erkennt die Verwendung von Rasautou.exe zum Laden einer beliebigen DLL, die in der Option -d angegeben ist, und führt den in -pangegebenen Export aus. Basiert auf der Regel DLL Execution via Rasautou.exe Sigma von Julia Fomina und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Daten komprimiert - PowerShell Erkennt komprimierte Daten, die vor der Exfiltration erfasst wurden. Basiert auf der Regel Data Compressed- PowerShell Sigma von Timur Zinniatullin und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Anwendungsprotokoll löschen Erkennt das Löschen von Protokolldateien. Basiert auf der Sigma-Regel TeamViewer Log File Deleted von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Deaktivieren der ETW-Ablaufverfolgung Erkennt einen Befehl, der ein ETW-Traceprotokoll löscht oder inaktiviert, das auf eine Protokollumgehung hinweisen könnte. Basierend auf der Regel Disable of ETW Trace von @neu5ron, Florian Roth (Nextron Systems), Jonhnathan Ribeiro und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Erkennung über die Standardtreiberhöhe - Sysmon Erkennt die Verwendung von findstr mit dem Argument 385201, das auf eine potenzielle Erkennung eines installierten Sysinternals Sysmon-Service mit der Standardtreiberhöhe hinweisen könnte. Basiert auf der Sigma-Regel Suspicious Findstr 385201 Execution von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Dotnet.exe DLL ausführen und nicht signierten Code ausführen LOLBIN Erkennt, dass dotnet.exe jede DLL und nicht signierten Code ausführt. Basiert auf der Regel Dotnet.exe Exec Dll und Execute Unsigned Code LOLBIN Sigma von Beyu Denis und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Download-Dienstprogramme in Events Erkennt, wenn ein Download-Dienstprogramm auf einem Endpunkt wie ftp, sftp, curl, cuteftp, wget, certutil, bitsoder ncverwendet wird.
Baustein BB:BehaviorDefinition: ETW-Protokollierung von Manipulationen in .NET-Prozessen Erkennt Änderungen an Umgebungsvariablen im Zusammenhang mit der ETW-Protokollierung. Basierend auf der Sigma-Regel ETW Logging Tamper In .NET Processes von Roberto Rodriguez (Cyb3rWard0g) und OTR (Open Threat Research).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Epische Dateinamen Erkennt, wenn Epic-Dateien erkannt werden
Baustein BB:BehaviorDefinition: Epic-Logdateinamen Erkennt, wenn Epic-Protokolldateien erkannt werden
Baustein BB:BehaviorDefinition: Epische Suchbegriffe Erkennt, wenn Epic nach bestimmten Begriffen sucht.
Baustein BB:BehaviorDefinition: Exchange-Postfach-Export über PowerShell Erkennt das Exchange PowerShell New-MailBoxExportRequest -Cmdlet, das den Inhalt einer primären Mailbox oder eines primären Archivs in eine .pst -Datei exportiert. Weitere Informationen zu diesem Angriff finden Sie unter Exportieren von Exchange-Postfächern über PowerShell.
Baustein BB:BehaviorDefinition: Austausch PowerShell Verwendung von Snap-Ins Erkennt das Hinzufügen und Verwenden von Exchange- PowerShell -Snap-ins zum Exportieren von Mailboxdaten. Basierend auf Austausch PowerShell Verwendung von Snap-Ins Sigma-Regel von FPT.EagleEye, und Nasreddine Bencherchali (Nextron Systems).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Ausführen von Dateien mit Msdeploy Erkennt die Dateiausführung mithilfe von msdeploy.exe lolbin. Basiert auf der Regel Execute Files with Msdeploy.exe Sigma von Beyu Denis und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Ausführung der gewünschten DLL mit WAB Erkennt, dass sich der Pfad zu der in der Registry geschriebenen DLL von dem Standardpfad unterscheidet. Der gestartete WAB.exe versucht, die DLL aus der Registry zu laden. Basiert auf der Ausführungs-DLL der Wahl unter Verwendung von WAB.EXE Sigma-Regel von oscd.communityund Natalia Shornikova.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Ausführung über Diskshadow Erkennt die Verwendung von Diskshadow.exe zur Ausführung beliebigen Codes in einer Textdatei. Basiert auf der Sigma-Regel Execution via Diskshadow.exe von Ivan Dyachkov und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Ausführung über WorkFolders Erkennt die Verwendung von WorkFolders.exe zum Ausführen einer beliebigen control.exe. Basiert auf der Sigma-Regel Execution via WorkFolders.exe von Maxime Thiebaut (@0xThiebaut).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Ausführung über Stordiag Erkennt die Verwendung von stordiag.exe zum Ausführen von schtasks.exe, systeminfo.exeund fltmc.exe. Basiert auf der Sigma-Regel Execution via stordiag.exe von Austin Songer (@austinsonger).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Dateidownload mit ProtocolHandler Erkennt die Verwendung von ProtocolHandler zum Herunterladen von Dateien. Heruntergeladene Dateien befinden sich im Cache-Ordner. Basiert auf der Sigma-Regel File Download Using ProtocolHandler.exe von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Datei- und Verzeichniserkennung - Linux Erkennt die Verwendung von Systemdienstprogrammen zur Erkennung von Dateien und Verzeichnissen. Basiert auf der Datei-und Verzeichniserkennung- Linux Sigma-Regel von Daniil Jugoslavskiy und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Fsutil Verdächtiger Aufruf Erkennt verdächtige Parameter von fsutil, wie z. B. das Löschen des USN-Journals oder das Konfigurieren des Journals mit geringer Größe. Basierend auf der Sigma-Regel Fsutil Suspicious Invocation von JEcco, E.M. Anhaus und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Gazer-Dateinamen Erkennt, wenn Gazer-Dateien erkannt werden.
Baustein BB:BehaviorDefinition: Gazer-Registrierung Erkennt, wenn Gazer-Registry-Namen erkannt werden.
Baustein BB:BehaviorDefinition: Gazer-Registrierungswerte Erkennt, wenn Gazer-Registry-Namen erkannt werden.
Baustein BB:BehaviorDefinition: Geplante Aufgabe über Indexwertmanipulation ausblenden Erkennt, wenn der Wert index einer geplanten Task aus der Registry geändert wird. Basiert auf der Sigma-Regel Hide Schedule Task Via Index Value Tamper von Nasreddine Bencherchali.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Dateien verstecken mit Attrib.exe Erkennt die Verwendung von attrib.exe zum Ausblenden von Dateien vor Benutzern Basiert auf der Sigma-Regel Hiding Files with Attrib.exe von Sami Ruohonen

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: HyperStack Dateinamen Erkennt, wenn HyperStack -Dateien erkannt werden
Baustein BB:BehaviorDefinition: HyperStack Rohr Erkennt, wenn der Name der HyperStack -Pipe erkannt wird
Baustein BB:BehaviorDefinition: HyperStack Registrierung Erkennt, wenn HyperStack -Registrys erkannt werden.
Baustein BB:BehaviorDefinition: Ungültiges Passwort bei der Anmeldung Erkennt ein ungültiges Kennwort bei der Anmeldung.
Baustein BB:BehaviorDefinition: Ungültiges Passwort während Kerberos Vorauthentifizierung Erkennt ungültiges Kennwort während der Kerberos -Vorabauthentifizierung.
Baustein BB:BehaviorDefinition: Installation der Kazuar-Registrierung erkennt, wenn ein Kazuar-Service Registrierungsschlüssel für die Persistenz erstellt.
Baustein BB:BehaviorDefinition: Linux Dateilöschung Erkennt das Löschen von Dateien mithilfe der Befehle rm, shred oder unlink . Angreifer können Dateien mit diesen Befehlen löschen, um ihre Aktivitäten zu verdecken. Basiert auf der Regel File Deletion Sigma von Ömer Günal und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Anmeldeskripte mit UserInitMprLogonScript Erkennt Änderungen oder die Erstellung von UserInitMprLogonScript. Basierend auf Anmeldeskripte ( UserInitMprLogonScript) Sigma-Regel von Tom Ueltschi (@c_APT_ure) und Tim Shelton.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Anmeldeskripte mit UserInitMprLogonScript Registrierung Erkennt Änderungen oder die Erstellung von UserInitMprLogonScript.
Baustein BB:BehaviorDefinition: Lolbin PressAnyKey und Download-Aktivität Erkennt eine bestimmte Kombination von Befehlszeilenflags, die von devinit.exe lolbin zum Herunterladen beliebiger MSI-Pakete auf ein Windows-System verwendet wird. Basierend auf NodejsTools PressAnyKey Lolbin Sigma-Regel von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Installation des MSExchange-Transport-Agents Erkennt die Installation eines Transportagenten in Exchange. Basiert auf der Sigma-Regel MSExchange Transport Agent Installation-Builtin von Tobias Michalski.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: MSExchange Transport Agent-Registrierung Erkennt Änderungen an der Liste der in Exchange registrierten Agenten.
Baustein BB:BehaviorDefinition: Schädliche Dateien, die in den Schriftartenordner geschrieben werden Überwacht, ob möglicherweise schädliche Dateien an der Position C:\Windows\Fonts\ verdeckt werden. Für diesen Ordner muss keine Administratorberechtigung geschrieben und ausgeführt werden. Basiert auf der Sigma-Regel Writing Of Malicious Files To The Fonts Folder von Sreeman.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Mavinject fügt DLL in laufenden Prozess ein Erkennt Prozessinjektion mithilfe der signierten Windows Mavinject -Maut mit dem Flag INJECTRUNNING . Basiert auf der Sigma-Regel Mavinject Inject DLL Into Running Process von frack113und Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Erstellen einer Microsoft Excel-Vorlage Erkennt die Erstellung von Vorlagendateien für Microsoft Excel aus einem Prozess, der nicht Excel ist. Basiert auf der Sigma-Regel Office Template Creation von Max Altgelt (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Erstellen einer Microsoft Word-Vorlage Erkennt die Erstellung von Vorlagendateien für Microsoft Word aus einem Prozess, der kein Word-Prozess ist. Basiert auf der Sigma-Regel Office Template Creation von Max Altgelt (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Änderung der versteckten Explorer-Schlüssel Erkennt Änderungen an den verdeckten Dateischlüsseln in der Registry. Basiert auf der Sigma-Regel Modification of Explorer Hidden Keys von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Installation der Mosquito-Registrierung Erkennt, wenn ein Mosquito-Service Registrierungsschlüssel für Persistenz erstellt. Die Malware fügt HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\den Wert shell hinzu.
Baustein BB:BehaviorDefinition: Mosquito Registry Installation (2) Erkennt, wenn ein Mosquito-Service Registrierungsschlüssel für Persistenz erstellt. Die Malware fügt HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runden Wert local_update_check hinzu.
Baustein BB:BehaviorDefinition: NTDS-Exfiltrationsbefehl Erkennt einen Befehl, der von conti zum Exfiltrieren von NTDS verwendet wird. Basiert auf der Sigma-Regel Conti NTDS Exfiltration Command von Max Altgelt und Tobias Michalski.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Netcat-Ausführung Erkennt verdächtige netcat -Ausführung. Basiert auf der Sigma-Regel Netcat Suspicious Execution von frack113und Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Netsh-Portweiterleitung Erkennt netsh -Befehle, die eine Portweiterleitung konfigurieren. Basiert auf der Regel New Port Forwarding Rule Added Via Netsh.EXX Sigma von Florian Roth (Nextron-Systeme), omkar72, oscd.communityund Swachchhanda Shrawan Poudel.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Netsh RDP-Portweiterleitung Erkennt netsh -Befehle, die eine Portweiterleitung von Port 3389 für RDP konfigurieren. Basiert auf der RDP Port Forwarding Rule Added Via Netsh.EXE Sigma-Regel von Florian Roth (Nextron Systems) und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Neue Serviceerstellung mit PowerShell Erkennt die Erstellung eines neuen Service mit Powershell. Basiert auf der Regel New Service Creation Using PowerShell Sigma von Timur Zinniatullin, Daniil Jugoslavskiy und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Neue Serviceerstellung mit Sc.EXE Erkennt die Erstellung eines neuen Service mit dem Dienstprogramm sc.exe . Basiert auf der Sigma-Regel New Service Creation Using Sc.EXE von Timur Zinniatullin, Daniil Jugoslavskiy und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Übergeben der Hash-Aktivität bei Netzwerkanmeldungen Erkennt das Angriffverfahren, bei dem der Hashwert übergeben wird, der verwendet wird, um sich im Netz seitlich zu bewegen. Basierend auf der Sigma-Regel Pass the Hash Activity 2 von Dave Kennedy, Jeff Warren (Methode) und David Vassallo (Regel).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Übergeben Sie die Hash-Aktivität in NewCredentials Anmeldungen Erkennt das Angriffverfahren, bei dem der Hashwert übergeben wird, der verwendet wird, um sich im Netz seitlich zu bewegen. Basierend auf der Sigma-Regel Pass the Hash Activity 2 von Dave Kennedy, Jeff Warren (Methode) und David Vassallo (Regel).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: PortProxy Registrierungsschlüssel Erkennt die Änderung des Registrierungsschlüssels für den Port-Proxy, der für die Portweiterleitung verwendet wird Basiert auf der PortProxy -Registrierungsschlüsselregel Sigma von Andreas Hunkeler (@Karneades)

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Möglich Linux Rechteausweitung Erkennt verdächtige Shellbefehle, die die Informationserfassungsphase als Vorbereitung für die Berechtigungseskalation angeben. Basiert auf der Sigma-Regel Privilege Escalation Preparation von Patrick Bareiss.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Mögliche nicht autorisierte MBR-Änderungen Erkennt mögliche zerstörerische unbefugte Nutzung von bcdedit.exe. Basiert auf der Regel Potential Ransomware or Unauthorized MBR Tampering Via Bcdedit.EXE Sigma von @neu5ron.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Potenzielle Gleichungsgruppenindikatoren Erkennt verdächtige Shellbefehle, die in verschiedenen Equation Group-Scripts und -Tools verwendet werden Basiert auf der Sigma-Regel Equation Group Indicators von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: PowerShell Dateidownload-Aktivität Erkennt, wenn PowerShell zum Herunterladen von Dateien verwendet wird.
Baustein BB:BehaviorDefinition: Powercat-Ausführung Erkennt die Powercat-Ausführung. Basiert auf der Regel Netcat The Powershell Version Sigma von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Powershell-Datei- und Verzeichniserkennung Sucht oder erkennt Dateien im Dateisystem. Bei der Ausführung werden Datei-und Ordnerinformationen angezeigt. Basiert auf der Sigma-Regel Powershell File and Directory Discovery von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Vorabruf der Dateilöschung Erkennt das Löschen einer Vorablesezugriffsdatei. Basiert auf der Sigma-Regel Prefetch File Deleted von Cedric MAURUGEON.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Proxy-Ausführung über den Explorer Erkennt die Verwendung von explorer.exe zur Umgehung von Abwehrmechanismen. Basiert auf der Regel Proxy Execution Via Explorer.exe Sigma von Furkan CALISKAN, @caliskanfurkan_und @oscd_initiative.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Regsvr32 Befehlszeile ohne DLL Erkennt eine regsvr.exe -Ausführung, die keine DLL in der Befehlszeile enthält Basiert auf der Sigma-Regel Regsvr32 ohne DLL von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Stammzertifikat installiert über CertMgr Erkennt Angreifer, die ein Stammzertifikat auf einem manipulierten System installieren, um Warnungen zu vermeiden, wenn eine Verbindung zu von einem Angreifer gesteuerten Web-Servern hergestellt wird. Basiert auf der Regel Root Certificate Installed Sigma von oscd.community, @redcanaryund Zach Stanford @svch0st.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Über Certutil installiertes Stammzertifikat Erkennt Angreifer, die ein Stammzertifikat auf einem manipulierten System installieren, um Warnungen zu vermeiden, wenn eine Verbindung zu von einem Angreifer gesteuerten Web-Servern hergestellt wird. Basiert auf der Regel Root Certificate Installed Sigma von oscd.community, @redcanaryund Zach Stanford @svch0st.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Führt COM-Objekt über Verclsid aus Erkennt, wenn verclsid.exe zum Ausführen des COM-Objekts über die GUID verwendet wird. Basiert auf der Regel Verclsid.exe führt COM Object Sigma von Victor Sergeev und oscd.communityaus.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Geplante Cron-Aufgabe Erkennt die Verwendung des Dienstprogramms cron zum Erstellen eines geplanten Jobs.
Baustein BB:BehaviorDefinition: Geplante Cron-Aufgabe/Job - Linux Erkennt die Verwendung des Dienstprogramms cron zum Erstellen eines geplanten Jobs. Basiert auf der Sigma-Regel Scheduled Cron Task/Job- Linux von Alejandro Ortuno und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Geplante Aufgabe Schreiben in System32 Aufgaben Erkennt die Erstellung von Tasks aus Prozessen, die von verdächtigen Positionen ausgeführt werden Basierend auf der Regel Suspicious Scheduled Task Write to System32 Tasks von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Geplante Aufgabe/Job – Windows Erkennt eine ungewöhnliche geplante Task. Basierend auf Ungewöhnliche geplante Aufgabe Einmal 00:00 Sigma-Regel von pH-T.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Ausführung des Skriptinterpreters aus einem verdächtigen Ordner Erkennt verdächtige Scriptausführungen in temporären Ordnern oder Ordnern, auf die über Umgebungsvariablen zugegriffen werden kann. Basierend auf der Sigma-Regel Script Interpreter Execution From Suspicious Folder von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Erkennung von Sicherheitssoftware - Linux Erkennt die Verwendung von Systemdienstprogrammen zur Erkennung von Sicherheitssoftware. Basiert auf der Sigma-Regel Security Software Discovery- Linux von Daniil Jugoslavskiy und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Erkennung von Sicherheitssoftware – Powershell Erkennung von PowerShell -Sicherheitssoftware. Basiert auf der Regel Security Software Discovery by Powershell Sigma von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Windows-Systemdatei mit Attrib festlegen Erkennt, dass Dateien mit dem Dienstprogramm attrib.exe als Systemdatei markiert werden Basiert auf der Sigma-Regel Set Files as System Files Using Attrib.EXE von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Angegebene Binärausführung über Devtoolslauncher oder OpenWith Erkennt, wenn OpenWith.exe oder Devtoolslauncher.exe eine andere Binärdatei ausführt. Basierend auf der OpenWith.exe führt angegebene binäre Sigma-Regel von Beyu Denis, oscd.community (Regel) und @harr0ey (Idee) aus.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Eichhörnchen Lolbin Erkennt Possible Squirrel Packages Manager als Lolbin. Basiert auf der Sigma-Regel Squirrel Lolbin von Karneades/Markus Neis, Jonhnathan Ribeiro und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Startverknüpfung erstellt Erkennt, wenn ein Service eine Verknüpfung im Windows-Startordner erstellt.
Baustein BB:BehaviorDefinition: Verdächtige Aktivitäten in Shell-Befehlen Erkennt verdächtige Shellbefehle, die in verschiedenen Codeexploits verwendet werden. Basiert auf der Sigma-Regel Suspicious Activity in Shell Commands von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtige Atbroker-Ausführung Erkennt Atbroker, der nicht standardmäßige Anwendungen mit Technologie für behindertengerechte Bedienung ausführt. Basiert auf der Sigma-Regel Suspicious Atbroker Execution von Mateusz Wydra und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtige Erweiterung der Cabinet-Datei Erkennt die Verwendung des integrierten Erweiterungsdienstprogramms zum Dekomprimieren von CAB-Dateien. Basiert auf der Sigma-Regel Suspicious Cabinet File Expansion von Bhabesh Raj.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtige Befehle Linux Erkennt relevante Befehle, die häufig mit Malware oder Hacking-Aktivitäten in Zusammenhang stehen. Basiert auf der Regel Suspicious Commands Linux Sigma von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtiger Löschbefehl erkennt verdächtige Befehlszeile zum Entfernen von exe oder dll. Basiert auf der Sigma-Regel Greedy File Deletion Using Del von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtiges Ereignisprotokoll gelöscht über PowerShell Erkennt das Löschen von Ereignisprotokollen mithilfe von PowerShell. Basiert auf der Sigma-Regel Suspicious Eventlog Clear or Configuration Change von Ecco, Daniil Jugoslavskiy, oscd.communityund D3F7A5105

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtiges Ereignisprotokoll über WMIC gelöscht Erkennt das Löschen von Ereignisprotokollen mit wmic. Basiert auf der Sigma-Regel Suspicious Eventlog Clear or Configuration Change von Ecco, Daniil Jugoslavskiy, oscd.communityund D3F7A5105

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtiges Ereignisprotokoll über Wevtutil gelöscht Erkennt das Löschen von Ereignisprotokollen mit wevtutil. Basiert auf der Sigma-Regel Suspicious Eventlog Clear or Configuration Change von Ecco, Daniil Jugoslavskiy, oscd.communityund D3F7A5105

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtige Gruppen- und Kontoaufklärungsaktivitäten mithilfe Net.EXE Erkennt verdächtige Ausspähungsbefehlszeilenaktivitäten auf Windows-Systemen mit Net.EXE. Basiert auf der Suspicious Group And Account Reconnaissance Activity Using Net.EXE Sigma-Regel von Florian Roth (Nextron Systems), omkar72, @svch0stund Nasreddine Bencherchali (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtige Load-DLL und Extexport-Ausführung Erkennt, wenn ein Benutzer Zertifikate mithilfe von CertOC.exe installiert, um die DLL-Zieldatei zu laden. Dadurch wird auch erkannt, dass Extexport.exe DLL lädt und von einem anderen Ordner aus im ursprünglichen Pfad ausgeführt wird. Basiert auf der Sigma-Regel Suspicious Extexport Execution von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtige Ladung von Advapi31 Erkennt das Laden von advapi31.dll durch einen Prozess, der in einem ungewöhnlichen Ordner ausgeführt wird. Basiert auf der Regel Suspicious Load of Advapi31.dll Sigma von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtige Lader Erkennt verschiedene Loader, die von der Lazarus-Gruppenaktivität verwendet werden. Basierend auf der Sigma-Regel Lazarus Loaders von Florian Roth und Wagga.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtige Net-Execution Erkennt verdächtige Ausspähungsbefehlszeilenaktivitäten auf Windows-Systemen mit dem Cmdlet PowerShell Get-LocalGroupMember . Basierend auf der Net.exe Execution Sigma-Regel von Michael Haag, Mark Woan (Verbesserungen), James Pemberton, @4A616D6573und oscd.community (Verbesserungen).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtiges Verschleierungszeichen in der Befehlszeile Erkennt mögliche Nutzdatenverschlüsselung über die Befehlszeile. Basiert auf der Regel Suspicious Dosfuscation Character in Commandline Sigma von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtige Registrierung über cscript Erkennt die Registrierung eines VSS/VDS-Providers als COM + -Anwendung.
Baustein BB:BehaviorDefinition: Verdächtige Remote-Anmeldung mit expliziten Anmeldeinformationen Erkennt verdächtige Prozesse, die sich mit expliziten Berechtigungsnachweisen anmelden.
Baustein BB:BehaviorDefinition: Verdächtige Reverse Shell-Befehlszeile Erkennt verdächtige Shellbefehle oder Programmcode, die ausgeführt oder in der Befehlszeile verwendet werden können, um eine Reverse Shell einzurichten. Basiert auf der Sigma-Regel Suspicious Reverse Shell Command Line von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtige Skriptausführung aus temporärem Ordner Erkennt verdächtige Scriptausführungen aus einem temporären Ordner. Basiert auf der Sigma-Regel Suspicious Script Execution From Temp Folder von Florian Roth, Max Altgelt und Tim Shelton.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Verdächtig ZipExec Ausführung Erkennt die Verwendung von ZipExec , einem POC-Tool (Proof-of-Concept), um binärbasierte Tools in eine kennwortgeschützte ZIP-Datei einzuschließen. Basiert auf der Regel Suspicious ZipExec Execution Sigma von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Svchost - Eingehende Verbindung Erkennt verdächtige eingehende Verbindungen zum svchost.exe -Prozess.
Baustein BB:BehaviorDefinition: Sysinternals SDelete Dateilöschung Erkennt das Löschen von Dateien durch Sysinternals SDelete. Basiert auf der Sigma-Regel File Deleted Via Sysinternals SDelete von Roberto Rodriguez (Cyb3rWard0g) und OTR (Open Threat Research).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Sysmon-Treiber entladen Erkennt ein mögliches Entladen des Sysmon-Treibers. Basiert auf der Sigma-Regel Sysmon Driver Unload von Kirill Kiryanov und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: TaskCache Registrierungsänderung Erkennt verdächtige Änderungen an der Registry am Schlüssel TaskCache . Basierend auf der Sigma-Regel Scheduled TaskCache Change by Uncommon Program von Syed Hasan (@syedhasan009).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Terminalserver-Client-Verbindungsverlauf gelöscht – Registrierung Erkennt das Löschen von Registrierungsschlüsseln, die das MSTSC-Verbindungsprotokoll enthalten. Basiert auf der Sigma-Regel Terminal Server Client Connection History Cleared-Registry von Christian Burkard (Nextron Systems)

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Laterale Bewegung der Turla-Gruppe Erkennt automatisierte seitliche Bewegungen durch die Turla-Gruppe. Basierend auf der Sigma-Regel Turla Group Lateral Movement von Markus Neis.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Turla LightNeuron Installation Wird ausgelöst, wenn ein Turla LightNeuron installiert wird.
Baustein BB:BehaviorDefinition: Turla LightNeuron Objekte Wird ausgelöst, wenn ein Turla-Objekt LightNeuron geladen wird.
Baustein BB:BehaviorDefinition: Benutzer zu lokalen Administratoren hinzugefügt Erkennt Benutzerkonten, die der lokalen Administratorgruppe hinzugefügt werden. Dies kann eine legitime Aktivität oder ein Zeichen einer Berechtigungseskalationsaktivität sein.
Baustein BB:BehaviorDefinition: Benutzeragent über Curl geändert Erkennt einen verdächtigen curl-Prozess, der mit dem Benutzeragenten gestartet wird. Basiert auf der Regel Suspicious Curl Change User Agents- Linux Sigma von Nasreddine Bencherchali (Nextron Systems).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Benutzeragent über Powershell geändert Erkennt das Einbetten verdächtiger Befehle in einen Benutzeragenten. Basiert auf der Regel Change User Agents with WebRequest Sigma von frack113.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: WinDbg/CDB Umgehung der LOLBIN-Nutzung und Anwendungs-Whitelist über Dxcap.exe Erkennt die Ausführung von Dxcap.exe sowie die Verwendung von cdb.exe zum Starten von 64-Bit-Shellcode oder beliebigen Prozessen oder Befehlen aus einer Debugger-Scriptdatei. Basierend auf WinDbg/CDB LOLBIN-Nutzung Sigma-Regel von Beyu Denis, oscd.community und Nasreddine Bencherchali.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Windows Shell/Scripting-Prozesse, die verdächtige Programme erzeugen Erkennt verdächtige untergeordnete Prozesse einer Windows-Shell und Scripting-Prozesse wie wscript, rundll32, powershellund mshta. Basierend auf der Sigma-Regel Windows Shell/Scripting Processes Spawning Suspicious Programs von Florian Roth (Nextron-Systeme) und Tim Shelton.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Windows-Softwareerkennung Wird ausgelöst, wenn Windows-Software erkannt wird. Basiert auf der Sigma-Regel Detected Windows Software Discovery von Nikita Nazarov und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Windows Software Discovery - PowerShell Wird ausgelöst, wenn Windows-Software erkannt wird. Basiert auf der Regel Detected Windows Software Discovery- PowerShell Sigma von Nikita Nazarov und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Binäres Laden des Windows-Spoolerdienstes Erkennt DLL Load aus dem Sicherungsordner des Spooler-Service. Basierend auf Verdächtiges Laden binärer Dateien beim Windows-Spoolerdienst Sigma-Regel von FPT.EagleEye, und Thomas Patzke (Verbesserungen).

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Löschen von Dateien im Windows-Spoolerdienst DLL-Löschungen aus dem Ordner des Spooler-Service-Treibers erkennen Basiert auf der Sigma-Regel Windows Spooler Service Suspicious File Deletion von Bhabesh Raj.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Windows Update-Client LOLBIN Erkennt die Codeausführung über den Windows Update-Client. Basiert auf der Regel Windows Update Client LOLBIN Sigma von FPT.EagleEye Team.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:BehaviorDefinition: Schreibschutz für Speicher deaktiviert Erkennt Änderungen an der Registry, um alle Schreibschutzeigenschaften für Speichereinheiten zu inaktivieren. Basiert auf der Sigma-Regel Write Protect For Storage Disabled von Sreeman.

Verwendet unter der Detection Rule License 1.1.
Baustein BB:CategoryDefinition: Dateiberechtigung geändert Definiert, wenn ein Befehl zum Ändern der Berechtigungen ausgeführt wurde, die einer Datei zugeordnet sind.
Baustein BB:CategoryDefinition: Objekt-Download-Ereignisse Bearbeiten Sie diesen Baustein, um alle Objektkategorien (Datei, Ordner usw.) für das Herunterladen zusammengehöriger Ereignisse einzuschließen.
Baustein BB:DeviceDefinition: Endgeräte Definiert Endpunkteinheiten im System.
Regel Missbrauch von Zugriffstoken Erkennt Tokenidentität und -diebstahl. Basiert auf der Sigma-Regel Access Token Abuse von Michaela Adams und Zach Mathis.

Verwendet unter der Detection Rule License 1.1.
Regel Zugriff auf ADMIN$ Share Erkennt den Zugriff auf die $ADMIN-Freigabe. Basierend auf der Sigma-Regel Access to ADMIN$ Share von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Active Directory Gruppen-/Computeraufzählung Wird ausgelöst, wenn eine Gruppe oder ein Computer in Active Directoryaufgezählt wird. Basierend auf Active Directory Gruppenaufzählung mit Get-AdGroup Und Active Directory Computer-Aufzählung mit Get-AdComputer Sigma regiert durch frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Active Directory Kerberos DLL über Office-Anwendung geladen Erkennt Kerberos -DLL, die von einem Microsoft Office-Produkt geladen wird. Basiert auf der Regel Active Directory Kerberos DLL Loaded Via Office Application Sigma von Antonlovesdnb.

Verwendet unter der Detection Rule License 1.1.
Regel Active Directory Parsing-DLL über Office-Anwendung geladen Erkennt DSParse-DLL, die von einem Microsoft Office-Produkt geladen wird. Basiert auf der Regel Active Directory Parsing DLL Loaded Via Office Application Sigma von Antonlovesdnb.

Verwendet unter der Detection Rule License 1.1.
Regel Alternative Datenströme schreiben Dateien Erkennt das Schreiben von Dateien im alternativen Datenstrom (ADS). ADS kann zum Speichern von Konfigurationsdateien verwendet werden. Basiert auf der Sigma-Regel NTFS Alternate Data Stream von Sami Ruohonen.

Verwendet unter der Detection Rule License 1.1.
Regel Versuch, Benutzerkontensteuerung über Windows-Firewall-Snap-In-Hijacking zu umgehen Erkennt Versuche, die Benutzerkontensteuerung über das Snap-in der Windows-Firewall zu umgehen.

Weitere Informationen zu diesem Angriff finden Sie unter UAC-Umgehung durch Windows Firewall Snap-In Hijack.
Regel Befehle für automatisierte Erfassung Erkennt einen Angreifer mithilfe automatisierter Verfahren zur Erfassung interner Daten.
Regel CLR-DLL über Office-Anwendung geladen Erkennt CLR-DLL, die von einem Microsoft Office-Produkt geladen wird. Basiert auf der Sigma-Regel CLR DLL Loaded Via Office Applications von Antonlovesdnb.

Verwendet unter der Detection Rule License 1.1.
Regel CLR-DLL über Scripting-Anwendungen geladen Erkennt CLR-DLLs, die von Scripting-Anwendungen geladen werden. Basiert auf der DotNet CLR DLL Loaded By Scripting Applications Sigma-Regel von omkar72und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel COM-Hijacking mit verdächtigen Positionen Erkennt eine potenzielle COM-Entwendung, bei der der 'Server' (In/Out) auf eine verdächtige Position zeigt. Basiert auf der Sigma-Regel COM Hijacking For Persistence With Suspicious Locations von Nasreddine Bencherchali.

Verwendet unter der Detection Rule License 1.1.
Regel COM-Entwendung über Sdclt Erkennt potenzielle COM-Hijacking über Sdclt. Basiert auf der Sigma-Regel COM Hijack via Sdclt von Omkar Gudhate.

Verwendet unter der Detection Rule License 1.1.
Regel COM-Objekt-Download-Wiegen Erkennt die Verwendung von COM-Objekten, die zum Herunterladen von Dateien in PowerShell durch CLSID missbraucht werden können. Basiert auf der Sigma-Regel Potential COM Objects Download Cradles Usage-PS Script von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Certutil-Eingeleitete Verbindung Erkennt eine vom certutil.exe -Tool intiatierte Netzverbindung. Angreifer können certutil.exe missbrauchen, um Malware oder anstößige Sicherheitstools herunterzuladen. Basiert auf der Sigma-Regel Certutil Initiated Connection von frack113und Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Befehlsprotokoll löschen Erkennt Aktivitäten zum Löschen des Befehlsprotokolls.
Regel ComRat Registry Service-Installation Wird ausgelöst, wenn ein Service comrat installiert ist und Nutzdaten in die Registry geschrieben werden. Dies kann auf einen vorhandenen Zugriff wie z. B. manipulierte Berechtigungsnachweise oder eine zuvor installierte Backdoor hinweisen.
Regel Befehl ausgeführt über SettingContent-ms Erkennt Befehle, die ausgeführt werden über SettingContent-ms. Basierend auf Beliebige Shell-Befehlsausführung über Settingcontent-Ms Sigma-Regel von Sreeman.

Verwendet unter der Detection Rule License 1.1.
Regel Befehlszeilenausführung mit verdächtigen URL und AppData Erkennt eine verdächtige Befehlszeilenausführung, die URL und AppData in den Befehlszeilenparametern enthält, wie sie von mehreren Droppern verwendet werden. Basierend auf der Command Line Execution mit verdächtigen URL und AppData Sigma-Regel von Florian Roth, Jonathan Ribeiro und oscd.community

Verwendet unter der Detection Rule License 1.1.
Regel Kommunikation mit EquationGroup C2 Tools Erkennt die Kommunikation mit C2 -Servern. Basierend auf der Sigma-Regel der Gleichungsgruppe C2 Kommunikation von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Sensible Dateien mit Berechtigungsnachweisdaten kopieren Erkennt Versuche, sensible Dateien mit Berechtigungsnachweisdaten zu kopieren. Basiert auf der Sigma-Regel Kopieren sensibler Dateien mit Berechtigungsnachweisdaten von Teymur Kheirkhabarov, Daniil Jugoslavskiy und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Erstellung von Outlook C2 Makrodatei Erkennt die Erstellung einer Outlook C2 -Makrodatei. Basierend auf Ausblick C2 Makroerstellung Sigma-Regel von @ScoubiMtl.

Verwendet unter der Detection Rule License 1.1.
Regel Erstellung verdächtiger ausführbarer Dateien Erkennt die Erstellung verdächtiger ausführbarer Dateien. Basiert auf der Sigma-Regel Suspicious Executable File Creation von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Erstellung oder Änderung von Anwendungen für behindertengerechte Bedienung Erkennt die Erstellung oder Änderung von Anwendungen für Technologie für behindertengerechte Bedienung. Basiert auf der Sigma-Regel Atbroker Registry Change von Mateusz Wydra und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Erstellung oder Änderung einer neuen geplanten GPO-Task oder eines neuen Service Erkennt die Erstellung bzw. Änderung einer neuen gruppenrichtlinienbasierten geplanten Task oder eines neuen Service. Basiert auf der Sigma-Regel Persistence and Execution at Scale via GPO Scheduled Task von Samir Bousseaden.

Verwendet unter der Detection Rule License 1.1.
Regel Tools zum Löschen von Anmeldedaten Named Pipes Erkennt gängige Ausführung von Speicherauszugstools für Berechtigungsnachweise über bestimmte benannte Pipes. Basiert auf der Sigma-Regel Cred Dump-Tools Named Pipes von Teymur Kheirkhabarov und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel curl-kombination Für Download Und Ausführung Erkennt potenzielle Angreifer mithilfe von 'curl', um Nutzdaten über Fernzugriff herunterzuladen und auszuführen. Basiert auf der Sigma-Regel Curl Download And Execute Combination von Sreeman und Nasreddine Bencherchali (Nextron-Systeme)

Verwendet unter der Detection Rule License 1.1.
Regel Ausführung der DNS Exfiltration Tools Erkennt die Ausführung des DNS-Exfiltrationswerkzeugs. Basiert auf der Sigma-Regel DNS Exfiltration and Tunneling Tools Execution von Daniil Jugoslavskiy und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel DNS-Exfiltration in Powershell Erkennt DNS-Exfiltration in Powershell. Basiert auf der Sigma-Regel Powershell DNSExfiltration von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel DNS HybridConnectionManager Linienbus Erkennt Hybridverbindungsmanager, die den Servicebus abfragen. Basierend auf DNS HybridConnectionManager Linienbus Sigma-Regel von Roberto Rodriguez ( Cyb3rWard0g) und OTR (Open Threat Research).

Verwendet unter der Detection Rule License 1.1.
Regel DarkSide -Ransomware-Aktivität erkannt Erkennt DarkSide -Ransomware-Aktivitäten. Basiert auf der Sigma-Regel DarkSide Ransomware Pattern von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel In Teile aufgeteilte Daten (Mac) Erkennt in Teile geteilte Daten. Basiert auf der Sigma-Regel Datei in Stücke teilen von Igor Fits, Mikhail Larin und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel In Teile aufgeteilte Daten (Unix) Erkennt in Teile geteilte Daten. Basierend auf der Sigma-Regel Split A File Into Pieces- Linux von Igor Fits und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Verwendete Standardkonten Erkennt verwendete Standardkonten. Basiert auf der Sigma-Regel Suspicious Manipulation Of Default Accounts von Nasreddine Bencherchali.

Verwendet unter der Detection Rule License 1.1.
Regel Windows Defender-Funktionalität über Registrierungsschlüssel inaktivieren Erkennt, wenn Angreifer die Windows Defender-Funktionalität mithilfe der Windows-Registrierung inaktivieren. Basierend auf Deaktivieren Sie Windows Defender-Funktionen über Registrierungsschlüssel Sigma-Regel von AlertIQ, Ján Trenčanský, frack113, Nasreddine Bencherchali und Swachchhanda Shrawan Poudel.

Verwendet unter der Detection Rule License 1.1.
Regel Inaktiviert CrashDump über Registry Erkennt CrashDump durch Änderung der Registry inaktiviert. Basiert auf der Regel CrashControl CrashDump Disabled Sigma von Tobias Michalski.

Verwendet unter der Detection Rule License 1.1.
Regel Abgehende Dllhost-netzverbindung Erkennt abgehende Verbindungen, die von dllhost.exeeingeleitet wurden
Regel Dllhost.exe Ausführungsanomalie Erkennt das Starten des dllhost.exe -Prozesses ohne Befehlszeilenargumente, was selten ist und auf eine Prozessinjektionsaktivität oder Malware hinweisen könnte, die ähnliche Systemprozesse imitiert. Basiert auf der Sigma-Regel Dllhost.EXE Execution Anomaly von Nasreddine Bencherchali (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Regel Erkennung von Domänenvertrauensstellungen Erkennt die Ausführung von nltest.exe und dsquery.exe für die Domänenvertrauenserkennung. Dieses Verfahren wird von Angreifern verwendet, um Active Directory -Vertrauensstellungen aufzuzählen. Basiert auf der Sigma-Regel Domain Trust Discovery von E.M. Anhaus (ursprünglich von Atomic Blue Detections), Tony Lambert, oscd.communityund omkar72.

Verwendet unter der Detection Rule License 1.1.
Regel DotNET -DLL über Office-Anwendung geladen Erkennt jede Assembly-DLL, die von einem Microsoft Office-Produkt geladen wird. Basiert auf der Regel DotNET Assembly DLL Loaded Via Office Application Sigma von Antonlovesdnb.

Verwendet unter der Detection Rule License 1.1.
Regel Nutzdaten mit Edge Headless Feature herunterladen Erkennt das Herunterladen von Nutzdaten mithilfe der Edge-Funktion ohne GUI. Basierend auf der Sigma-Regel Potential Willkürlicher Dateidownload Via MSEdge.EXE von Florian Roth (Nextron-Systeme) und Nasreddine Bencherchali (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Regel Nutzdaten über die Konsole mit Edge herunterladen Erkennt das Herunterladen von Nutzdaten über die Edge-Konsole. Basiert auf der Sigma-Regel Edge abuse for payload download via console von mdecrevoisier.

Verwendet unter der Detection Rule License 1.1.
Regel Speicherauszug von Berechtigungsnachweisen aus Windows Credential Manager mit PowerShell Erkennt Angreifer, die nach allgemeinen Kennwortspeicherpositionen suchen, um Benutzerberechtigungsnachweise abzurufen. Basiert auf der Regel Dump Credentials from Windows Credential Manager With PowerShell Sigma by frack113.

Verwendet unter der Detection Rule License 1.1.
Regel ETW-Trace inaktiviert Erkennt einen Befehl, der ein ETW-Traceprotokoll löscht oder inaktiviert, das auf eine Protokollumgehung hinweisen könnte. Basierend auf der Sigma-Regel Disable of ETW Trace von @neu5ron, Florian Roth, Jonhnathan Ribeiro und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel E-Mail-Kontoerkennung aus Powershell Erkennt E-Mail-Kontoerkennung von Powershell.
Regel Aktivität des verschlüsselten Kanals Erkennt verschlüsselte Kanalaktivitäten. Basiert auf der Sigma-Regel Suspicious SSL Connection von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Berechtigungsnachweise aus Windows Credential Manager mit PowerShell Erkennt Angreifer, die nach allgemeinen Kennwortspeicherpositionen suchen, um Benutzerberechtigungsnachweise abzurufen.
Regel Zu viele nslookup-Instanzen von Powershell Erkennt eine übermäßige Anzahl von nslookup aus Powershell. Basiert auf der Regel Nslookup PowerShell Download Cradle- ProcessCreation Sigma von Nasreddine Bencherchali (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Regel Von einer anderen ausführbaren Datei erstellte ausführbare Datei Wird ausgelöst, wenn eine ausführbare Datei von einer anderen ausführbaren Datei erstellt wird. Basiert auf der Sigma-Regel Creation of an Executable by an Executable von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Ausführung von Dnscat Erkennt die Ausführung von Dnscat. Basiert auf der Sigma-Regel Dnscat Execution von Daniil Jugoslavskiy und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Ausführung von Exfiltration und Tunneling-Tools Erkennt die Ausführung von Exfiltration-und Tunneltools. Basiert auf der Sigma-Regel Exfiltration and Tunneling Tools Execution von Daniil Jugoslavskiy und oscd.community

Verwendet unter der Detection Rule License 1.1.
Regel Ausführung von Nicht-DLL-Dateien mit Rundll32 Erkennt rundll32.exe , wenn eine Nicht-DLL-Datei ausgeführt wird. Basiert auf der Regel Suspicious Rundll32 Execution With Image Extension Sigma von Hieu Tran.

Verwendet unter der Detection Rule License 1.1.
Regel Ausführung von TAP Installer Software Erkennt die Ausführung der TAP Installer-Software. Basiert auf der Sigma-Regel Tap Installer Execution von Daniil Jugoslavskiy, Ian Davis und oscd.community

Verwendet unter der Detection Rule License 1.1.
Regel Nutzung von EQNEDT32 Erkennt CVE-2017-11882 , das eine Nutzung von EQNEDT32.EXE , um andere Prozesse zu generieren. Basiert auf der Droppers Exploiting CVE-2017-11882 Sigma-Regel von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Dateierstellung durch nicht privilegierte Prozesse im Programmdateiverzeichnis Erkennt die Dateierstellung durch nicht privilegierte Prozesse im Programmdateiverzeichnis. Basiert auf der Sigma-Regel Files Dropped to Program Files by Non-Priviledged Process von Teymur Kheirkhabarov (Idee), Ryan Plas (Regel) und oscd.community

Verwendet unter der Detection Rule License 1.1.
Regel Dateidownload über Bitsadmin Erkennt die Verwendung von bitsadmin beim Herunterladen einer Datei. Basiert auf der Sigma-Regel File Download Via Bitsadmin von Michael Haag und FPT.EagleEye.

Verwendet unter der Detection Rule License 1.1.
Regel Datei-und Verzeichnisberechtigung ändern (Windows) Erkennt Änderungen an Datei-und Verzeichnisberechtigungen in Windows. Basierend auf der Sigma-Regel Datei-oder Ordnerberechtigungsänderungen von Jakob Weinzettl, oscd.communityund Nasreddine Bencherchali.

Verwendet unter der Detection Rule License 1.1.
Regel Datei-und Verzeichnisberechtigung nach Download ändern Erkennt die Änderung von Datei-und Verzeichnisberechtigungen nach einem Dateidownloadereignis.
Regel Verdächtiger Fingeraufruf Erkennt verdächtige veraltete finger.exe -Toolausführungen, die heutzutage häufig bei Malware-Angriffen verwendet werden. Basiert auf der Sigma-Regel Finger.exe für verdächtige Aufrufe von Florian Roth (Nextron-Systeme), omkar72und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Über Office-Anwendung geladene GAC-DLL Erkennt jede GAC-DLL, die von einem Microsoft Office-Produkt geladen wird. Basiert auf der Sigma-Regel GAC DLL Loaded Via Office Applications von Antonlovesdnb.

Verwendet unter der Detection Rule License 1.1.
Regel Get-ADUser User User Discovery and Export Wird ausgelöst, wenn das Cmdlet Get-ADUser verwendet wird, um Benutzerinformationen zu erfassen und in einer Datei auszugeben. Basiert auf der User Discovery And Export Via Get-ADUser Cmdlet- PowerShell Sigma-Regel von Nasreddine Bencherchali (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Regel Google Chrome DLL-Sideloading Erkennt DLL-Sideloading in Google Chrome. Basierend auf der Sigma-Regel Potential Chrome Frame Helper DLL Sideloading von Nasreddine Bencherchali (Nextron Systems) und Wietze Beukema (Projekt und Forschung).

Verwendet unter der Detection Rule License 1.1.
Regel Dateien mit Attrib ausblenden Erkennt die Verwendung von attrib.exe zum Ausblenden von Dateien für Benutzer. Basiert auf der Sigma-Regel Hiding Files with Attrib.exe von Sami Ruohonen

Verwendet unter der Detection Rule License 1.1.
Regel Installation des Service "Hybrid Connection Manager" Erkennt die Installation des Hybrid Connection Manager-Service. Basierend auf HybridConnectionManager Serviceinstallation Sigma-Regel von Roberto Rodriguez ( Cyb3rWard0g) und OTR (Open Threat Research).

Verwendet unter der Detection Rule License 1.1.
Regel Speicherinterne PowerShell Erkennt das Laden wichtiger DLLs, die verwendet werden von PowerShell, aber nicht durch den ProzessPowershell.exe . Basierend auf der speicherinternen PowerShell Sigma-Regel von Tom Kern, oscd.community, Natalia Shornikova und Tim Shelton.

Verwendet unter der Detection Rule License 1.1.
Regel Eingabeerfassung mit Maussperre Erkennt die Eingabeerfassung mithilfe des Mauserfassungstools. Basiert auf der Sigma-Regel Mouse Lock Credential Gathering von Cian Heasley.

Verwendet unter der Detection Rule License 1.1.
Regel Linux -Ausführung des Doas-Tools Erkennt die Ausführung des Tools Linux doas . Basiert auf der Regel Linux Doas Tool Execution Sigma von Sittikorn S und Teoderick Contreras.

Verwendet unter der Detection Rule License 1.1.
Regel Ländereinstellung des Suchsystems Erkennt die Suche nach der Ländereinstellung des Systems. Basiert auf der -Konsole CodePage Lookup Via CHCP Sigma-Regel nach _pete_0und TheDFIRReport.

Verwendet unter der Detection Rule License 1.1.
Regel Bösartige Datei „ Base64 “ in der Registrierung Erkennt Schreibänderungen in der Registry, wenn ein Angreifer versucht, codierte Befehle auszublenden. Basierend auf der Sigma-Regel Suspicious Environment Variable Has Been Registered von Nasreddine Bencherchali.

Verwendet unter der Detection Rule License 1.1.
Regel Schädliche benannte Pipe Wird ausgelöst, wenn eine benannte Pipe von bekannter APT-Malware erstellt wird.
Regel Zerstörerische PowerShell -Scripts Erkennt die Erstellung bekannter Powershell-Scripts zur Ausnutzung. Basierend auf der Regel Malicious PowerShell Scripts- FileCreation Sigma von Markus Neis, Nasreddine Bencherchali (Nextron-Systeme), Mustafa Kaan Demir und Georg Lauenstein.

Verwendet unter der Detection Rule License 1.1.
Regel Böswillige Verwendung der Systemsteuerung Erkennt böswillige Verwendung von Elementen der Steuerkonsole. Basierend auf Control Panel Items von Kyaw Min Thein und Furkan Caliskan (@caliskanfurkan_).

Verwendet unter der Detection Rule License 1.1.
Regel Maskierungsaufgabe oder -service Wird ausgelöst, wenn Tasks oder Services maskiert werden.
Regel Binärdatei-Github-Kommunikation von Microsoft Erkennt eine ausführbare Datei im Windows-Ordner, die auf github.comzugreift. Basierend auf der Microsoft Binary Github Communication Sigma Regel von Michael Haag (Idee), Florian Roth (Regel).

Verwendet unter der Detection Rule License 1.1.
Regel Microsoft Binary Verdächtiger Kommunikationsendpunkt Erkennt eine ausführbare Datei im Windows-Ordner, die auf verdächtige Domänen zugreift. Basiert auf der Sigma-Regel Microsoft Binary Suspicious Communication Endpoint von Florian Roth (Nextron-Systeme) und Nasreddine Bencherchali (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Regel Microsoft Office-DLL-Sideloading Erkennt DLL-Sideloading von DLLs, die Teil von Microsoft Office sind, von einer vom Standard abweichenden Position. Basierend auf der Sigma-Regel Microsoft Office DLL Sideload von Nasreddine Bencherchali (Nextron-Systeme) und Wietze Beukema (Projekt und Forschung).

Verwendet unter der Detection Rule License 1.1.
Regel Microsoft Office-Vorlagenerstellung Erkennt die Erstellung von Vorlagendateien für Microsoft Office von außerhalb von Office.
Regel Mimikatz-Ausführung Erkennt bekannte Mimikatz-Befehlszeilenargumente. Basiert auf HackTool -Mimikatz Execution von Teymur Kheirkhabarov, oscd.community, David ANDRE (zusätzliche Schlüsselwörter) und Tim Shelton.

Verwendet unter der Detection Rule License 1.1.
Regel Mehrere Anmeldefehler aufgrund eines fehlerhaften Kennworts Erkennt Angreifer, die Kennwortspritzen ausführen.
Regel Network Share Discovery-Aktivität Erkennt Erkennungsaktivitäten im gemeinsam genutzten Netzbereich.
Regel Netzsniffing-Aktivität Erkennt Netz-Sniffing-Aktivitäten Basiert auf der Sigma-Regel Network Sniffing von Timur Zinniatullin und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Neues Zertifikat zum Zertifikatsspeicher hinzugefügt Erkennt das Hinzufügen neuer Root-, CA-oder AuthRoot -Zertifikate zur Windows-Registry. Basiert auf der Sigma-Regel New Root or CA or AuthRoot zum Speichern von durch frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Neue Portweiterleitungsregel über Netsh hinzugefügt Erkennt die Ausführung von netsh-Befehlen, die eine neue Portweiterleitungsregel (PortProxy) konfigurieren. Basiert auf der Regel New Port Forwarding Rule Added Via Netsh.EXX Sigma von Florian Roth (Nextron-Systeme), omkar72, oscd.communityund Swachchhanda Shrawan Poudel.

Verwendet unter der Detection Rule License 1.1.
Regel Erstellung eines neuen Service Erkennt die Erstellung eines neuen Service
Regel Vom Standard abweichende Portbelegung Erkennt vom Standard abweichende Portnutzung. Basiert auf der Sigma-Regel Suspicious Typical Malware Back Connect Ports von Florian Roth (Nextron Systems).

Verwendet unter der Detection Rule License 1.1.
Regel Outlook C2 Makroerstellung Erkennt die Erstellung einer Makrodatei für Outlook. Basierend auf Ausblick C2 Makroerstellung Sigma-Regel von @ScoubiMtl.

Verwendet unter der Detection Rule License 1.1.
Regel Outlook-Sicherheitseinstellungen in Registry geändert Erkennt Änderungen in den Outlook-E-Mail-Sicherheitseinstellungen. Basiert auf der Sigma-Regel Change Outlook Security Setting in Registry von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Hashaktivität übergeben Erkennt das Angriffverfahren, bei dem der Hashwert übergeben wird, der verwendet wird, um sich im Netz seitlich zu bewegen.
Regel Persistenzregistrierungsschlüssel für Papierkorb Erkennt den Persistenzregistrierungsschlüssel für den Papierkorb. Basiert auf der Sigma-Regel Registry Persistence Mechanisms in Recycle Bin von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Persistenz und Ausführung im Maßstab über geplante GPO-Task Erkennt laterale Bewegungen mithilfe einer geplanten GPO-Aufgabe. Basiert auf der Sigma-Regel Persistence and Execution at Scale via GPO Scheduled Task von Samir Bousseaden.

Verwendet unter der Detection Rule License 1.1.
Regel Persistenz über Registrierungsschlüssel für Services Erkennt einen Angreifer, der versucht, über die Serviceerstellung oder -änderung eines vorhandenen Service persistent zu speichern. Basiert auf der Sigma-Regel ServiceDll Entwendung von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Persistenz über Startordner Erkennt, wenn eine Datei mit einer verdächtigen Erweiterung im Startordner erstellt wird Basiert auf der Sigma-Regel Suspicious Startup Folder Persistence von Nasreddine Bencherchali.

Verwendet unter der Detection Rule License 1.1.
Regel Phishing-Muster im ISO-Archiv Erkennt, wenn eine ISO-Datei mit Archivierungsanwendungen geöffnet wird. Basierend auf der Sigma-Regel Phishing Pattern ISO in Archive von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Mögliche Brute-Force-Versuche Erkennt Angreifer, die Brute-Force-Attacken ausführen.
Regel Mögliche Installation von Turla LightNeuron Backdoor Wird ausgelöst, wenn eine Turla LightNeuron -Backdoor installiert wird. LightNeuron richtet sich an Microsoft Exchange-E-Mail-Server, die Transport Agent verwenden.

Verwendet unter der Detection Rule License 1.1.
Regel Potenzielle Archivierung erfasster Daten Wird ausgelöst, wenn Daten für Exfiltration archiviert oder komprimiert werden. Ein Angreifer kann Daten, z. B. sensible Dokumente, komprimieren, die vor der Exfiltration erfasst werden, um sie portierbar zu machen und das über das Netz gesendete Datenvolumen zu minimieren.
Regel Potenzielle Boot-oder Anmeldeinitialisierungsscripts Erkennt Auslöser, wenn Änderungen an Windows-Anmeldescripts vorgenommen werden, um Boot-oder Anmeldescripts zu initialisieren.
Regel Potenzielle C2 -Kommunikation über ein Protokoll ohne Anwendungsschicht Erkennt Angreifer, die ein Protokoll ohne Anwendungsschicht für die Kommunikation zwischen Host und C2 -Server oder zwischen infizierten Hosts in einem Netz verwenden.
Regel Potenzielle CO2-Aktivität Erkennt Carbon-Aktivität, die mit dem C & C-Server kommuniziert, um Daten zu exfiltrieren.
Regel Potenzielle ComRAT -Aktivität Erkennt ComRAT -Aktivitäten, die ein Powershell-Ladeprogramm zum Erstellen geplanter Tasks sind.
Regel Mögliche Befehls-und Scripting-Interpreter Wird ausgelöst, wenn ein Befehls-und Scripting-Interpreter erkannt werden.
Regel potenzielle Konfiguration Und Serviceausspähung Erkennt Ausspähungsversuche aus der Registry. Angreifer können mit der Windows-Registrierungsdatenbank interagieren, um Informationen zu Berechtigungsnachweisen, zum System, zur Konfiguration und zur installierten Software zusammenzustellen. Basiert auf der Sigma-Regel Query Registry von Timur Zinniatullin, oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Potenzielle Crutch-Aktivität Erkennt Crutch-Aktivität, die Daten verschlüsselt und exfiltriert.
Regel Potenzielles DLL-Injektionsmuster erkannt Erkennt die potenzielle Nutzung von CreateRemoteThread API und LoadLibrary Funktion zum Einfügen einer DLL in einen Prozess. Basierend auf CreateRemoteThread API und LoadLibrary von Roberto Rodriguez @Cyb3rWard0g.

Verwendet unter der Detection Rule License 1.1.
Regel Entwendung potenzieller DLL-Suchreihenfolge Wird ausgelöst, wenn versucht, eine DLL-Datei in einem bekannten Ordner für Abhängigkeiten von Desktopanwendungen wie Slack, Teams oder OneDrive und durch einen ungewöhnlichen Prozess zu erstellen. Dies kann auf einen Versuch hinweisen, ein zerstörerisches Modul über die DLL-Suchreihenfolge zu laden. Basiert auf der Sigma-Regel Potential Initial Access via DLL Search Order Hijacking von Tim Rauch (Regel) und Elastic (Idee).

Verwendet unter der Detection Rule License 1.1.
Regel Potenzielle Datenexfiltration über Curl Erkennt die Ausführung des Prozesses curl mit upload -Flags. Dies kann auf eine mögliche Datenexfiltration hinweisen. Basiert auf der Sigma-Regel Suspicious Curl File Upload von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Potenzielle Empire-Aktivität Erkennt Empire-Aktivitäten, die Microsoft Outlook entwenden, um Daten über E-Mails zu exfiltrieren.
Regel Potenzielle Epic-Aktivität Erkennt Turla Epic-Aktivitäten, die nach verschiedenen Begriffen im Opfersystem suchen.
Regel Potenzielle Exchange-Exploit-Aktivität erkannt Erkennt potenzielle Exchange-Exploit-Aktivitäten. Basiert auf der Sigma-Regel Exchange Exploitation Activity von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Potenzielle Datei-und Verzeichniserkennung Wird ausgelöst, wenn eine Datei oder ein Verzeichnis nach Informationserkennung durchsucht wird. Ein Angreifer kann Dateien und Verzeichnisse aufzählen oder an bestimmten Positionen eines Hosts oder eines gemeinsam genutzten Netzbereichs nach bestimmten Informationen in einem Dateisystem suchen.
Regel Potenzieller Ablauf der Ausführungsentwendung Wird ausgelöst, wenn eine DLL aus einem verdächtigen Ordner oder einer verdächtigen Datei geladen oder gelöscht wird.
Regel Aktivität des potenziellen Gazers Erkennt Aktivitäten von Turla Gazer, bei denen es sich um eine Hintertür handelt, die verschiedene Verfahren für Persistenz verwendet.
Regel Potenziell verdeckte Datei oder Verzeichnis Wird ausgelöst, wenn eine Datei oder Verzeichnisattribute geändert oder geändert werden, um Artefakte für Benutzer auszublenden.
Regel Potenzielle HyperStack -Aktivität Erkennt Turla HyperStack -Aktivität, bei der es sich um eine Backdoor handelt.
Regel Aktivität zum Entfernen potenzieller Anzeiger auf Host Wird ausgelöst, wenn ein Angreifer Artefakte, die auf einem Hostsystem erstellt wurden, löscht oder ändert, um Beweise für ihr Vorhandensein oder ihre Abwehrmaßnahmen zu entfernen
Regel Potenzielle Ingress-Tool-Übertragung Erkennt einen verdächtigen Anruf an Invoke-WebRequest, curl oder wget, wobei sich die Ausgabe an einem verdächtigen Ort befindet. Basierend auf Verdächtig Invoke-WebRequest Verwendung Sigma-Regel von Nasreddine Bencherchali.

Verwendet unter der Detection Rule License 1.1.
Regel Potenzielle Kazuar-Aktivität Erkennt eine Kazuar-Aktivität, bei der es sich um eine Verknüpfungserstellung und einen Unterschlüssel handelt, der unter dem HKCU-Registrierungspfad hinzugefügt wurde.
Regel Potenzielle LOLBIN-Aktivität Wird ausgelöst, wenn LOLBIN verwendet wird, um Code für eine angegebene Binärdatei auszuführen.
Regel Potenzielle Lateralbewegung über PowerShell Erkennt einen PowerShell -Prozess, der als untergeordneter oder untergeordneter Prozess von häufig missbrauchten Prozessen während einer lateralen Bewegung generiert wird. Basiert auf der Regel Possible Lateral Movement PowerShell Spawn Sigma von Mauricio Velazco und Splunk.

Verwendet unter der Detection Rule License 1.1.
Regel Potenzieller MSExchange-Mailboxexport Wird ausgelöst, wenn eine Exchange-Mailbox in eine Datei exportiert wird.
Regel Installation des potenziell schädlichen MSExchange-Transportagenten Erkennt die Installation eines Exchange-Transportagenten.
Regel Potenzielle Moskitoaktivität Erkennt Moskitoaktivitäten, bei denen es sich um eine Win32 -Backdoor handelt
Regel Potenzielle PowerShell ReverseShell -Verbindung Erkennt die Nutzung des 'TcpClient' Klasse. Kann missbraucht werden, um ferne Verbindungen und Reverse Shells herzustellen. Basierend auf Mögliche Powershell ReverseShell Verbindung Sigma-Regel von FPT.EagleEye, Wagga und Nasreddine Bencherchali (Nextron Systems).

Verwendet unter der Detection Rule License 1.1.
Regel Konfiguration für potenzielle Proxy-Weiterleitung Wird ausgelöst, wenn ein Proxy-Port für die Weiterleitung konfiguriert ist. Angreifer können Proxy-Ports konfigurieren, um Netzeinschränkungen durch Tunnelung zu umgehen.
Regel Potenzielle Registry-oder Umgebungsvariable entladen Wird ausgelöst, wenn Änderungen an Umgebungsvariablen oder der Registry vorgenommen werden. Dies könnte auf einen Vorläufer einer Ransomware-Attacke hinweisen.
Regel Potenzielle geplante Task erstellt Erkennt geplante Tasks, die erstellt wurden
Regel Erkennung potenzieller Sicherheitssoftware Wird ausgelöst, wenn eine Sicherheitssoftware erkannt wird Angreifer können versuchen, eine Liste der Sicherheitssoftware, Konfigurationen, Verteidigungstools und Sensoren abzurufen, die auf einem System oder in einer Cloudumgebung installiert sind. Dies kann Dinge wie Firewallregeln und Anti-Viren umfassen.
Regel Potenzieller Zugriff auf Svchost-Speicher Erkennt potenziellen Zugriff auf den svchost-Prozessspeicher, wie z. B. den von Invoke-Phantom zum Beenden des winRM -Windows-Ereignisprotokollierungsservice verwendeten Speicher. Basiert auf der Sigma-Regel Suspect Svchost Memory Asccess von Tim Burrell.

Verwendet unter der Detection Rule License 1.1.
Regel Potenzielle System-DLL-Sideloading von Nicht-Systempositionen Erkennt das DLL-Sideloading von DLLs, die sich normalerweise an Systempositionen wie System32oder SysWOW64befinden. Basierend auf Seitenladen von System-DLLs von Nicht-Systemstandorten Sigma-Regel von Nasreddine Bencherchali, Wietze Beukema (Projekt und Forschung), Chris Spehn (Forschung WFH Dridex) und XForceIR ( SideLoadHunter Projekt).

Verwendet unter der Detection Rule License 1.1.
Regel Potenzielle TinyTurla -Aktivität Erkennt TinyTurla -Aktivitäten, die eine gefälschte DLL namens w64time.dllverwenden. Die Windows-Legit-Version ist w32time.dll, was die Malware weniger auffällt.
Regel Potenzielle Turla Recon-Aktivität Erkennt eine allgemeine Turla-Aktivität, die mehrere Ausspähungsbefehle ausführt, um Informationen zur Opfermaschine zu finden und sich auch lateral zu bewegen.
Regel Potenzieller UNIX-Shell-Befehl und Scripting-Interpreter Erkennt Trigger, wenn verdächtige Shellbefehle oder Programmcode, der für Befehls-und Scripting-Interpreter ausgeführt werden kann.
Regel Potenzielle Web Shell gelöscht Erkennt potenzielle gelöschte Web-Shells. Basierend auf der Sigma-Regel Suspicious ASPX File Drop by Exchange von Florian Roth (Regel), MSTI (Abfrage, Idee).

Verwendet unter der Detection Rule License 1.1.
Regel Potenzielle WinAPI -Aufrufe über PowerShell -Scripts Erkennt die Verwendung von WinAPI -Funktionen in PowerShell -Scripts Basiert auf der Sigma-Regel Potential WinAPI -Aufrufe über PowerShell Scripts von Nikita Nazarov, oscd.communityund Tim Shelton.

Verwendet unter der Detection Rule License 1.1.
Regel Potenzielle Windows Command Shell Interpreter Wird ausgelöst, wenn die Verwendung der Pfadtraversierung in cmd.exe auf mögliche Befehls-/Argumentverwirrung/Entwendung hinweist. Basiert auf der Cmd.exe CommandLine Path Traversal Sigma-Regel von xknow @xknow_infosecund Tim Shelton.

Verwendet unter der Detection Rule License 1.1.
Regel Erstellung potenzieller geplanter Windows-Tasks Wird ausgelöst, wenn Angreifer versuchen, eine geplante Task zu erstellen
Regel Potenzielle Windows-Softwareerkennung Wird ausgelöst, wenn eine Windows-Software erkannt wird. Angreifer können versuchen, Software aus verschiedenen Gründen aufzuzählen, z. B. um herauszufinden, welche Sicherheitsmaßnahmen vorhanden sind oder ob das kompromittierte System eine Version von Software mit einer Sicherheitslücke hat.
Regel PowerShell DownloadFile Erkennt die Ausführung von PowerShell, die Erstellung eines WebClient -Objekts und den Aufruf von DownloadFile in einer einzigen Befehlszeile. Basiert auf der Sigma-Regel PowerShell DownloadFile von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel PowerShell -Profiländerung Wird ausgelöst, wenn ein Powershell-Profil erstellt oder geändert wird, das auf verdächtige Aktivitäten hinweist, da das Profil als Mittel der Persistenz verwendet werden kann. Basiert auf der Regel PowerShell Profile Modification Sigma von HieuTT35und Nasreddine Bencherchali.

Verwendet unter der Detection Rule License 1.1.
Regel Powershell-Keylogging-Aktivität Erkennt die Keylogging-Aktivität von Powershell. Basiert auf der Sigma-Regel Powershell Keylogging von frack113.
Regel Lokale E-Mail-Erfassung mit Powershell Erkennt Angreifer, die auf Benutzer-E-Mails auf lokalen Systemen abzielen, um sensible Informationen zu erfassen Basiert auf der Powershell Local Email Collection von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Powershell-Erzeugung ferner Threads Erkennt Powershell-Injection-Code in kritische Windows-Prozesse.
Regel Prozessinjektion über Maldoc Erkennt Prozessinjektion mit maldoc. Basiert auf der Sigma-Regel LittleCorporal Generated Maldoc Injection von Christian Burkard.

Verwendet unter der Detection Rule License 1.1.
Regel Psexec Accepteula-vereinbarung Festgestellt Erkennt die Aktivität 'psexec accepteula'. Basiert auf der Sigma-Regel Psexec Accepteula Condition von omkar72.

Verwendet unter der Detection Rule License 1.1.
Regel Python Core Image Load erkannt Erkennt das Laden von Python Core-Images. Basiert auf der Sigma-Regel Python Py2Exe Image Load von Patrick St. John und OTR (Open Threat Research).

Verwendet unter der Detection Rule License 1.1.
Regel Python Py2Exe Bild laden Erkennt die Bildlast von Python Core, die auf ein mit Py2Exegebündeltes Python -Script hinweist. Basiert auf der Sigma-Regel Python Py2Exe Image Load von Patrick St. John und OTR (Open Threat Research).

Verwendet unter der Detection Rule License 1.1.
Regel RDP-Kommunikation über Loopback-Adresse Erkennt RDP-Kommunikation über Loopback-Adresse. Basiert auf der WFP-Sigma-Regel RDP over Reverse SSH Tunnel von Samir Bousseaden.

Verwendet unter der Detection Rule License 1.1.
Regel Ausspähungsaktivität mit BuiltIn -Befehlen Erkennt die Ausführung einer Gruppe integrierter Befehle, die häufig in Recon-Phasen von verschiedenen Angriffsgruppen verwendet werden. Basiert auf der Sigma-Regel Quick Execution of a Series of Suspicious Commands von juju4.

Verwendet unter der Detection Rule License 1.1.
Regel Regedit mit TrustedInstaller -Berechtigungen gestartet Erkennt regedit, das mit TrustedInstaller -Berechtigungen oder mit ProcessHacker.exegestartet wurde. Basiert auf der Sigma-Regel Regedit as Trusted Installer von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Registry-Änderung von Ausführungsschlüsseln Erkennt die Änderung von Ausführungsschlüsseln in der Registry. Basierend auf Verdächtiger Treiber Installieren von pnputil.exe Sigma-Regel von Hai Vaknin @LuxNoBulIshit, Avihay eldad @aloneliassaf und Austin Songer @austinsonger.

Verwendet unter der Detection Rule License 1.1.
Regel Regsvr32 Abgehende Netzverbindung Erkennt abgehende Verbindungen, die von regsvr32.exeeingeleitet wurden
Regel Ferne PowerShell -Sitzung Erkennt ferne PowerShell -Verbindungen, indem abgehende Netzverbindungen zu Ports 5985 oder 5986 von einem Nicht-Netzservicekonto überwacht werden. Basiert auf der Regel Remote PowerShell Session (Network) Sigma von Roberto Rodriguez (@Cyb3rWard0g).

Verwendet unter der Detection Rule License 1.1.
Regel Erstellung ferner geplanter Tasks Erkennt ferne geplante Taskerstellungen.
Regel Ferne Serviceaktivität über benannte SVCCTL-Pipe Erkennt ferne Serviceaktivitäten über Fernzugriff auf die benannte Pipe svcctl. Basiert auf der Sigma-Regel Remote service creation via named pipes von mdecrevoisier.

Verwendet unter der Detection Rule License 1.1.
Regel Erstellung ferner Threads in verdächtigen Zielen Erkennt die Erstellung eines fernen Threads in verdächtigen Zielimages. Basierend auf der Erstellung ferner Threads in verdächtigen Zielen von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Stammzertifikat installiert Erkennt Angreifer, die ein Stammzertifikat auf einem manipulierten System installieren, um Warnungen zu vermeiden, wenn eine Verbindung zu von einem Angreifer gesteuerten Web-Servern hergestellt wird.
Regel RunDLL32 abgehende Netzverbindung Erkennt abgehende Verbindungen, die von rundll32.exeeingeleitet wurden
Regel Rundll32 mit Abstammung verdächtiger Prozesse Erkennt Ausführungen von rundll32.exe aus ungewöhnlichen übergeordneten Prozessen.
Regel Ausführung von entwendeter Binärdatei erkannt Erkennt die Ausführung der entwendeten Binärdatei. Basierend auf Verwenden von SettingSyncHost.exe als LOLBin Sigma-Regel von Anton Kutepov und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Ryuk Ransomware-Befehlszeilenaktivität erkannt Erkennt die Ryuk-Ransomware-Befehlszeilenaktivität Basiert auf der Sigma-Regel Ryuk Ransomware Command Line Activity von Vasiliy Burov.

Verwendet unter der Detection Rule License 1.1.
Regel SMB-Create Remote File Admin Share Erkennt Nicht-Systemkonten-SMB, die auf eine Datei mit Schreibzugriffsmaske (0x2) über eine administrative Freigabe wie C$zugreifen. Basiert auf der Sigma-Regel SMB Create Remote File Admin Share von Jose Rodriguez (@Cyb3rPandaH) und OTR (Open Threat Research)

Verwendet unter der Detection Rule License 1.1.
Regel SSH-Firewallkonfiguration Erkennt die SSH-Firewallkonfiguration. Basiert auf der OpenSSH -Server-Firewallkonfiguration unter Windows (Befehl) Sigma-Regel von mdecrevoisier.

Verwendet unter der Detection Rule License 1.1.
Regel Vom Script eingeleitete Verbindung Erkennt einen Script-Interpreter wscript/cscript, der eine Netzverbindung öffnet. Angreifer können Scripts verwenden, um schädliche Nutzdaten herunterzuladen. Basiert auf der Sigma-Regel Scriptgesteuerte Verbindung von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel service-dll-hijacking Erkennt Änderungen am Wert ServiceDLL in Bezug auf einen Service in der Registry. Dies wird häufig als Persistenzmethode verwendet. Basiert auf der Sigma-Regel ServiceDll Entwendung von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Schwachstelle in Schwachstelle bei Service-Registry-Berechtigungen Erkennt Angreifer, die nach Fehlern in Berechtigungen innerhalb der Registry suchen, um von der ursprünglich angegebenen ausführbaren Datei zu einer Datei umzuleiten, die sie steuern, um ihren eigenen Code beim Start des Service zu starten. Basierend auf der Sigma-Regel Service Registry Permissions Schwäche Check von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Ausbeutung von SetupComplete.cmd Erkennt Versuche zur Ausnutzung einer Schwachstelle bei der Berechtigungseskalation über SetupComplete.cmd und PartnerSetupComplete.cmd.
Regel Erstellung von Spiegelkopien mit Dienstprogrammen des Betriebssystems Erkennt mögliche Szenarios für den Zugriff auf Berechtigungsnachweise, bei denen Spiegelkopien mithilfe von Betriebssystemdienstprogrammen erstellt werden. Basiert auf der Sigma-Regel Shadow Copies Creation Using Operating Systems Utilities von Teymur Kheirkhabarov, Daniil Jugoslavskiy und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Von Web-Servern gestartete Shells Erkennt Web-Server, die Shellprozesse generieren, die das Ergebnis einer erfolgreich platzierten Web-Shell oder eines anderen Angriffs sein können. Basierend auf der Sigma-Regel Shells Spawned by Web Servers von Thomas Patzke, Florian Roth (Nextron-Systeme), Zach Stanford @svch0st, Tim Shelton und Nasreddine Bencherchali (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Regel Snatch-Ransomware-Aktivität erkannt Erkennt Snatch-Ransomware-Aktivität. Basierend auf der Snatch Ransomware Sigma Regel von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Name des statischen Mimikatz-Treibers erkannt Erkennt bekannte ausgebeutete Mimikatz-Treibernamen. Basierend auf der Regel PrinterNightmare Mimikatz Driver Name Sigma von Markus Neis, @markus_neisund Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Steganography-Einbettungsdateien Erkennt das Einbetten von Steganografiedateien. Basierend auf der Sigma-Regel Steganography Unzip Hidden Information From Picture File von Pawel Mazur.

Verwendet unter der Detection Rule License 1.1.
Regel Steganography-Dateien extrahieren Erkennt die Extraktion von Steganografiedateien Basiert auf der Sigma-Regel Steganography Extract Files with Steghide von Pawel Mazur.

Verwendet unter der Detection Rule License 1.1.
Regel Steganographie mit RAR Erkennt einen Berechtigungseskalationsversuch über eine betrügerische Windows-Verzeichnisumgebungsvariable. Basiert auf der Sigma-Regel Suspicious Greedy Compression Using Rar.EXE von X__Junior (Nextron-Systeme) und Florian Roth (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtiges Verhalten nach SOURGUM Actor Erkennt verdächtiges Verhalten des SOURGUM-Akteurs.
Regel Verdächtige binäre DLL-Ausführung Wird ausgelöst, wenn eine DLL aus einem angegebenen Verzeichnis ausgeführt wird.
Regel Verdächtiges Laden und Ausführen von Binärdateien Wird ausgelöst, wenn eine beliebige DLL aus einer angegebenen Binärdatei geladen oder ausgeführt wird
Regel Erstellung verdächtiger CLR-Protokolle Erkennt verdächtige .NET-Assembly-Ausführungen. Basiert auf der Sigma-Regel Erstellung verdächtiger CLR-Protokolle von omkar72, oscd.communityund Wojciech Lesicki.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige Änderung des Benutzeragenten Erkennt eine verdächtige Änderung des Benutzeragenten. Angreifer können über Protokolle der Anwendungsschicht kommunizieren, die mit Webdatenverkehr verbunden sind, um die Erkennung/Netzfilterung zu vermeiden, indem sie mit vorhandenem Datenverkehr gemischt werden.
Regel Verdächtiger Kopierbefehl von Administratorfreigabe Erkennt verdächtige Kopierbefehle von der Administratorfreigabe. Basierend auf Aus Admin-Freigabe kopieren Sigma-Regel von Florian Roth (Nextron Systems), oscd.community, Teymur Kheirkhabarov @HeirhabarovT, Zach Stanford @svch0st und Nasreddine Bencherchali.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige Erstellung von Get-Variablendatei Erkennt verdächtige Erstellung der Datei get-variable.exe . Basiert auf der Regel Suspicious Get-Variable.exe Creation Sigma von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige geplante Crontask/Job Erkennt Missbrauch des Dienstprogramms cron, um die Taskplanung für die anfängliche oder wiederkehrende Ausführung von zerstörerischem Programmcode durchzuführen.
Regel Verdächtiger Curl-Download Erkennt einen verdächtigen curl -Prozessstart unter Windows und gibt das angeforderte Dokument in einer lokalen Datei aus. Basierend auf der Regel Suspicious Curl.EXE Download Sigma von Florian Roth (Nextron-Systeme) und Nasreddine Bencherchali (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtiger Doppeldateierweiterungsprozess Erkennt Prozesse mit doppelten Dateierweiterungen. Basiert auf der Sigma-Regel Suspicious Double Extension File Execution von Florian Roth (Nextron-Systeme), @blu3_team (Idee) und Nasreddine Bencherchali (Nextron-Systeme)

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtig erhöhte Systemshell Wird ausgelöst, wenn ein Shellprogramm wie die Windows-Eingabeaufforderung oder PowerShell mit Systemberechtigungen gestartet wird. Basiert auf der Sigma-Regel Suspicious Erhöhten System Shell von frack113und Tim Shelton.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtiges EventLog gelöscht Erkennt das Löschen von Ereignisprotokollen mit wevtutil, powershell und wmic.
Regel Verdächtige Ausführung der GRP-Dateikonvertierung Erkennt verdächtige Ausführung der .grp -Dateikonvertierung. Basiert auf der Sigma-Regel Suspicious GrpConv Execution von Florian Roth (Nextron-Systeme)

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige Ausführung von Outlook aus temporärem Verzeichnis Erkennt die Ausführung von Outlook aus einem temporären Verzeichnis. Basierend auf der Sigma-Regel Execution in Outlook Temp Folder von Florian Roth (Nextron Systems).

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige Ausführung mit Colorcpl Erkennt verdächtige Ausführung von colorcpl.exe. Basiert auf der Sigma-Regel Suspicious Creation with Colorcpl von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige Datei von Office-Anwendung erstellt Erkennt die Erstellung von ausführbaren Dateien und Scriptdateien durch Microsoft Office-Anwendungen Basiert auf der Sigma-Regel Created Files by Office Applications von Vadim Khrykov (ThreatIntel) und Cyb3rEng (Regel)

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtiger Dateidownload mit Office-Anwendung Erkennt die Verwendung von Microsoft Word, Microsoft Excel oder Microsoft PowerPoint zum Herunterladen beliebiger Dateien. Basierend auf der Regel Suspicious File Download Using Office Application von Beyu Denis und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtiges Abrufen-Variablenerstellung Erkennt PowerShell -Persistenz durch Entwendung von Get-Variable.exe. Basiert auf der Regel Suspicious Get-Variable.exe Creation Sigma von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtig GetTypeFromCLSID ShellExecute Erkennt verdächtigen PowerShell-Code, der COM-Objekte ausführt. Basierend auf Verdächtig GetTypeFromCLSID ShellExecute Sigma-Regel von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Aktivität 'Verdächtige Gruppe und Kontoausspähung' Erkennt verdächtige Ausspähungsbefehlszeilenaktivitäten auf Windows-Systemen.
Regel Verdächtige Aktivität zum Löschen von Hostdateien Wird ausgelöst, wenn Hostdateien aus dem System gelöscht werden
Regel Verdächtige speicherinterne Modulausführung Erkennt Prozesszugriffsereignisse durch verdächtige Prozesse, die Bibliotheken in ihrem Speicherbereich reflektiv geladen haben. Basiert auf der Sigma-Regel Suspicious In-Memory Module Execution von Perez Diego (@darkquassar), oscd.communityund Jonhnathan Ribeiro.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtiges Linux -Protokoll gelöscht Wird ausgelöst, wenn versucht, Protokolle auf dem System zu löschen. Angreifer können Systemprotokolle löschen, um Hinweise auf einen unbefugten Zugriff zu verbergen. Basiert auf der Regel Clear Linux Logs von Ömer Günal und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtiges Mac-Systemprotokoll gelöscht Wird ausgelöst, wenn ein lokales Prüfprotokoll gelöscht wird Basiert auf der Sigma-Regel Indicator Removal on Host-Clear Mac System Logs von remotephone und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtiger Microsoft OneNote -Kindprozess Erkennt verdächtige untergeordnete Microsoft Onenote-Prozesse, die generiert wurden. Basiert auf der Sigma-Regel Suspicious Microsoft OneNote Child Process von Tim Rauch (Nextron-Systeme), Nasreddine Bencherchali (Nextron-Systeme) und Elastic (Idee).

Verwendet unter der Detection Rule License 1.1.
Regel Exfiltration von verdächtigen NTDS-Prozessmustern Erkennt verdächtige Prozesse, die eine Active Directory -Datenbankdatei (ntds.dit) schreiben (kopieren) Basiert auf NTDS.DIT Creation By Uncommon Process Sigma-Regel von Florian Roth (Nextron-Systeme) und Nasreddine Bencherchali (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige Schreiboperationen des NTDS-Prozesses Erkennt verdächtige Prozessmuster, die in NTDS.DIT Exfiltration. Basiert auf den verdächtigen Prozessmustern NTDS.DIT Exfil Sigma-Regel von Florian Roth (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige neue Instanz eines Office-COM-Objekts Erkennt eine Microsoft Office-Anwendung, die eine Instanz eines der Office COM-Objekte wie Word.Applicationoder Excel.Applicationerstellt. Dies kann von böswilligen Akteuren verwendet werden, um schädliche Office-Dokumente mit Makros während der Verarbeitung zu erstellen. Basiert auf Suspicious New Instance Of An Office COM Object von Nasreddine Bencherchali (Nextron Systems)

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige ausgehende SMTP-Verbindungen Erkennt potenzielle Exfiltration über SMTP-Protokoll. Basiert auf der Sigma-Regel Suspicious Outbound SMTP Connections von frack113

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige PowerShell -Schlüsselwörter Erkennt Schlüsselwörter, die auf die Verwendung eines Frameworks zur Nutzung von PowerShell hinweisen könnten. Basiert auf der Sigma-Regel Potential Suspicious PowerShell Keywords von Florian Roth (Nextron Systems), Perez Diego (@darkquassar) und Tuan Le (NCSGroup).

Verwendet unter der Detection Rule License 1.1.
Regel Erkennung verdächtiger Prozesse mit Get-Process Erkennt Angreifer, die eine Erkennung ausführen und die Prozesse abrufen, die auf dem lokalen Computer ausgeführt werden. Basiert auf der Sigma-Regel Suspicious Process Discovery With Get-Process von frack113.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtiger Prozess aus Microsoft HTML-Hilfe Erkennt verdächtige Prozesse, die von Microsoft HTML Help generiert werden. Basiert auf dem HH HTML-Hilfe HH.EXE Suspicious Child Process Sigma von Maxim Pavlunin und Nasreddine Bencherchali (Nextron-Systeme)

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige Programmposition mit Netzverbindungen Erkennt Programme mit Netzverbindungen, die an verdächtigen Dateisystempositionen ausgeführt werden. Basierend auf Suspicious Program Location with Network Connections von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige binäre Ausführung des Proxys Wird ausgelöst, wenn eine Systembinärdatei über einen Proxy ausgeführt wird.
Regel Verdächtige Aktivität PsExec Erkennt verdächtige PsExec -Aktivitäten. Basiert auf der Impacket PsExec Execution Sigma-Regel von Bhabesh Raj.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige ferne benannte Pipe Erkennt Lateralbewegungen und ferne Ausführungsszenarien mithilfe neu beobachteter benannter Pipes, auf die über Fernzugriff zugegriffen wird Basiert auf der Sigma-Regel First Time Seen Remote Named Pipe von Samir Bousseaden.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige geplante Task Erkennt verdächtige geplante Taskerstellung oder Aktualisierungsereignisse auf der Basis von Attributen wie Pfaden oder Befehlszeilen-Flags. Basiert auf Suspicious Scheduled Task Creation von Nasreddine Bencherchali.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtiges Scripting in einem WMI-Konsumenten Erkennt verdächtige Befehle, die sich auf Scripting/Powershell in WMI Event Consumers beziehen. Basiert auf der Sigma-Regel Suspicious Scripting in a WMI Consumer von Florian Roth (Nextron-Systeme) und Jonhnathan Ribeiro.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtiger Unterprozess von RazerInstaller Erkennt verdächtige Unterprozesse aus RazerInstaller.exe. Basiert auf der Sigma-Regel Suspicious RazerInstaller Explorer Subprocess von Florian Roth und Maxime Thiebaut.

Verwendet unter der Detection Rule License 1.1.
Regel Anomalie bei verdächtiger Svchost-Ausführung Erkennt die Ausführung von svchost.exe ohne CLI-Argumente, die normalerweise beobachtet werden, wenn ein zerstörerischer Prozess den Prozess startet und Code in den Prozessspeicherbereich einfügt. Basiert auf der Sigma-Regel Suspect Svchost Activity von David Burkett und @signalblur.

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtiger TCP-Tunnel über PowerShell Script Erkennt PowerShell -Scripts, die Sockets/Listener erstellen, die auf Tunnelungsaktivitäten hinweisen können. Basierend auf der Regel Suspicious TCP Tunnel Via PowerShell Script Sigma von Nasreddine Bencherchali (Nextron-Systeme).

Verwendet unter der Detection Rule License 1.1.
Regel Verdächtige gültige Kontoanmeldung Wird ausgelöst, wenn eine verdächtige Anmeldung von einem gültigen Konto erkannt wird
Regel Verdächtige WMIC-Ausführung Erkennt WMIC bei der Ausführung verdächtiger oder recon-Befehle. Basiert auf der Sigma-Regel Suspicious WMIC Execution von Michael Haag, Florian Roth, juju4und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Ausführung des verdächtigen WebDav -Clients Erkennt Exfiltrationsversuche oder die Verwendung von WebDav zum Starten von Code, der auf einem WebDav -Server gehostet wird Basiert auf der Sigma-Regel WebDav Client Execution von Roberto Rodriguez (Cyb3rWard0g) und OTR (Open Threat Research).

Verwendet unter der Detection Rule License 1.1.
Regel Symlink zu Kennwort erstellt Erkennt symbolische Verbindung, die zum Verzeichnis /etc/passwd erstellt wurde. Basiert auf der Sigma-Regel Symlink Etc Passwd von Florian Roth.

Verwendet unter der Detection Rule License 1.1.
Regel Systemeigner oder Benutzererkennung (Linux) Erkennt Systemeigner-oder Benutzererkennungsaktivitäten. Basiert auf der Sigma-Regel System Owner or User Discovery von Timur Zinniatullin und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Systemeigner oder Benutzererkennung (Windows) Erkennt Systemeigner-oder Benutzererkennungsaktivitäten. Basiert auf der Regel Local Accounts Discovery Sigma von Timur Zinniatullin, Daniil Jugoslavskiy und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Systemzeiterkennungsaktivität Erkennt Erkennungsaktivitäten zur Systemzeit.
Regel Token-Identitätswechsel über PowerShell Erkennt Angreifer, die Windows-API-Funktionen im Zusammenhang mit dem Identitätswechsel oder Diebstahl von Tokens nutzen.
Regel Dateien mit Berechtigungsnachweisdaten über gemeinsam genutzte Netzbereiche übertragen Erkennt Versuche, Dateien mit bekannten Dateinamen, wie z. B. sensible Dateien mit Berechtigungsnachweisdaten, über gemeinsam genutzte Netzbereiche zu übertragen. Basiert auf der Sigma-Regel Transferring Files with Credential Data via Network Shares von Teymur Kheirkhabarov und oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Turla-Service installiert Wird ausgelöst, wenn ein bösartiger Service installiert wird, der einem böswilligen APT bekannt ist.
Regel Einschränkungen für ferne Benutzerkontensteuerung inaktiviert Erkennt Registry-Änderungen, die ferne Verwaltungsaktionen zulassen. Basiert auf der Sigma-Regel Disable UAC Remote Restriction von Steven Dick, Teoderick Contreras und Splunk.

Verwendet unter der Detection Rule License 1.1.
Regel Ungewöhnlich auftretender Prozess aus HWP Erkennt ungewöhnliche Prozesse, die von Hangul Word Processor (Hanword) generiert werden. Basiert auf der Sigma-Regel Suspicious HWP Sub Processes von Florian Roth (Nextron Systems)

Verwendet unter der Detection Rule License 1.1.
Regel Ungewöhnlicher untergeordneter Prozess aus verschiedenen Prozessen Erkennt ungewöhnliche untergeordnete Prozesse aus verschiedenen Prozessen. Basiert auf der Sigma-Regel Abused Debug Privilege by Arbiträr Parent Processes von Semanur Guneysu @semanurtgund oscd.community.

Verwendet unter der Detection Rule License 1.1.
Regel Benutzerauthentifizierung über mehrere explizite Berechtigungsnachweise Erkennt einen Benutzer, der versucht, sich mit mehreren Zielbenutzern mit expliziten Berechtigungsnachweisen zu authentifizieren.
Regel Benutzererstellung-Fortinet-Sicherheitslücke Erkennt Benutzererstellung durch Missbrauch einer Fortinet-Schwachstelle. Basiert auf der Sigma-Regel Fortinet APT group abuse on Windows (user) durch mdecrevoisier.

Verwendet unter der Detection Rule License 1.1.
Regel VBA-DLL über Office-Anwendung geladen Erkennt VB-DLLs, die von einer Microsoft Office-Anwendung geladen wurden, was auf das Vorhandensein von VBA-Makros hinweisen könnte Basiert auf der Sigma-Regel VBA DLL Loaded Via Office Application von Antonlovesdnb.

Verwendet unter der Detection Rule License 1.1.
Regel VirtualBox -Treiber installiert oder gestartet Erkennt die VirtualBox -Treiberinstallation oder einen Start virtueller Maschinen. Basiert auf der Sigma-Regel Detect Virtualbox Driver Installation OR Starting Of VMs von Janantha Marasinghe.

Verwendet unter der Detection Rule License 1.1.
Regel Anfälliger Treiber geladen Wird ausgelöst, wenn ein anfälliger Treiber geladen wird Basiert auf der Sigma-Regel Windows Vulnerable Driver Loaded von Michael Haag und Splunk.

Verwendet unter der Detection Rule License 1.1.
Regel WMI-Ereigniskonsumentenpersistenz Erkennt WMI-Befehlszeilenereigniskonsumenten. Basiert auf der Sigma-Regel WMI Persistence-Command Line Event Consumer von Thomas Patzke.

Verwendet unter der Detection Rule License 1.1.
Regel WScript oder CScript-Dropping-Datei Erkennt eine Datei mit der Endung jse, vbe, js, vbaoder vbs , die von cscript.exe oder wscript.exegeschrieben wird Basiert auf der Sigma-Regel WScript oder CScript Dropper-File von Tim Shelton.

Verwendet unter der Detection Rule License 1.1.
Regel Windows-Ereignisprotokollierung über Registry inaktiviert Erkennt die Manipulation des Registrierungsschlüssels 'Enabled', um die Windows-Protokollierung eines Windows-Ereigniskanals zu inaktivieren. Basiert auf der Sigma-Regel Disable Windows Event Logging Via Registry von frack113und Nasreddine Bencherchali.

Verwendet unter der Detection Rule License 1.1.
Regel Änderung des Trustdatensatzes für Windows-Registry Erkennt Änderungen an vertrauenswürdigen Datensätzen der Windows-Registry. Basiert auf der Sigma-Regel Windows Registry Trust Record Modification von Antonlovesdnb.

Verwendet unter der Detection Rule License 1.1.

(Zurück nach oben)