近日,微步旗下的“X漏洞奖励计划”收录 Windows 平台下 WPS Office 个人版和企业版的RCE(远程代码执行)0day 漏洞,协助金山官方修复该漏洞后,微步情报局第一时间发布了相关的漏洞预警(详见:WPS出现0day漏洞,请立即升级!)
预警发布后,大量企业客户联系微步咨询如何应对,尤其是如何检测是否受到该漏洞的攻击。为了急防守方单位之所急,我们决定公开微步在线OneEDR产品检测团队针对该漏洞编写的检测规则,供大家参考使用:
检测规则1
规则含义:检测wpsetwpp等进程是否创建powershell*scriptrundll32此类可疑进程,以及是否创建无签名类可疑进程。
id: 0date: 2022/08/02author: 'ThreatBook'logsource:product: windowscategory: process_creationdetection:selection1:Image|endswith:- 'regsvr32.exe'- 'rundll32.exe'- 'mshta.exe'- 'verclsid.exe'- 'control.exe'- 'wmic.exe'- 'cscript.exe'- 'wscript.exe'- 'powershell.exe'ParentImage|endswith:- 'wps.exe'- 'et.exe'- 'wpp.exe'selection2:Image|endswith:- 'cmd.exe'CommandLine|contains:- ' regsvr32'- ' rundll32'- ' mshta'- ' verclsid'- ' control'- ' wmic'- ' cscript'- ' wscript'- ' powershell'ParentImage|endswith:- 'wps.exe'- 'et.exe'- 'wpp.exe'selection3:ImageSignStatus:- 'Unable'ParentImage|endswith:- 'wps.exe'- 'et.exe'- 'wpp.exe'condition: 1 of selection*
检测规则2
规则含义:检测wpsetwpp等进程是否通过smb协议加载sct脚本。
规则内容:
id: 1date: 2022/08/02author: 'ThreatBook'logsource:product: windowscategory: smbfile_transmitdetection:selection:TargetFilename|contains:- '.sct'Image|endswith:- 'wps.exe'- 'et.exe'- 'wpp.exe'condition: selection
↓↓↓
哦原文始发于微信公众号(微步在线):WPS 0day EDR检测规则
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论