WPS 0day EDR检测规则

admin 2022年8月4日15:27:37安全文章评论32 views1300字阅读4分20秒阅读模式

近日,微步旗下的“X漏洞奖励计划”收录 Windows 平台下 WPS Office 个人版和企业版的RCE(远程代码执行)0day 漏洞,协助金山官方修复该漏洞后,微步情报局第一时间发布了相关的漏洞预警(详见:WPS出现0day漏洞,请立即升级!


预警发布后,大量企业客户联系微步咨询如何应对,尤其是如何检测是否受到该漏洞的攻击。为了急防守方单位之所急,我们决定公开微步在线OneEDR产品检测团队针对该漏洞编写的检测规则,供大家参考使用:

检测规则1

规则含义:检测wpsetwpp等进程是否创建powershell*scriptrundll32此类可疑进程,以及是否创建无签名类可疑进程。

规则内容:
id: 0date: 2022/08/02author: 'ThreatBook'logsource:    product: windows    category: process_creationdetection:    selection1:        Image|endswith:            - 'regsvr32.exe'            - 'rundll32.exe'            - 'mshta.exe'            - 'verclsid.exe'            - 'control.exe'            - 'wmic.exe'            - 'cscript.exe'            - 'wscript.exe'            - 'powershell.exe'        ParentImage|endswith:            - 'wps.exe'            - 'et.exe'            - 'wpp.exe'    selection2:        Image|endswith:            - 'cmd.exe'        CommandLine|contains:            - ' regsvr32'            - ' rundll32'            - ' mshta'            - ' verclsid'            - ' control'            - ' wmic'            - ' cscript'            - ' wscript'            - ' powershell'        ParentImage|endswith:            - 'wps.exe'            - 'et.exe'            - 'wpp.exe'    selection3:        ImageSignStatus:            - 'Unable'        ParentImage|endswith:            - 'wps.exe'            - 'et.exe'            - 'wpp.exe'    condition: 1 of selection*


检测规则2


规则含义:检测wpsetwpp等进程是否通过smb协议加载sct脚本。

规则内容:

id: 1date: 2022/08/02author: 'ThreatBook'logsource:    product: windows    category: smbfile_transmitdetection:    selection:        TargetFilename|contains:            - '.sct'        Image|endswith:            - 'wps.exe'            - 'et.exe'            - 'wpp.exe'    condition: selection






安全传送门

Free Tria
如需进一了解TDP 0day检测能力
欢迎扫码联系我们

↓↓

WPS 0day EDR检测规则

WPS 0day EDR检测规则
400-030-1051



· END ·

点击下方名片,关注我们
觉得内容不错,就点下在看
如果不想错过新的内容推送,可以设为星标WPS 0day EDR检测规则

原文始发于微信公众号(微步在线):WPS 0day EDR检测规则

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月4日15:27:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  WPS 0day EDR检测规则 http://cn-sec.com/archives/1221826.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: