検出中 Windowsファイル拡張子の不正使用

攻撃者は、ユーザーが使い慣れたファイル拡張子を標的にして、ユーザーに悪意のあるコードを実行させたり、エンドポイントに残り続けさせたりすることができます。たとえば、ファイルの末尾が.doc または.docx であることがわかると、ユーザーは Microsoft Word 文書であると想定し、ダブルクリックすると winword.exe を使用してそのファイルが開かれることを想定します。また、ユーザーは通常、.docx ファイルは安全だと思い込んでいます。攻撃者はこの予想を悪用して、実際のファイル拡張子をわかりにくくします。

このユースケースは、このようなファイル拡張子の悪用を検出するのに役立ちます。 Windows ファイル名に複数の拡張子が付いたファイルの実行を検索してファイルを関連付けます。これは、攻撃者が実際のファイル拡張子を不明瞭にするために使用する一般的な手法です。

必要なデータ

正規化エンドポイントデータホストからのプロセスアクティビティを記録します。CIM のインストールと使用方法については、を参照してください。共通情報モデルのドキュメンテーション。

このユースケースでの Splunk ソフトウェアの使い方

このユースケースを導入するには、以下のものが揃っていることを確認してください。 Splunk ES Content Updates にインストールされています Splunk Enterprise Security デプロイ。この豊富なコンテンツライブラリにより、すぐに使えるセキュリティ検出と分析ストーリーを導入して、調査を強化し、セキュリティ体制を改善することができます。持っていない場合 Splunk Enterprise Security ただし、これらの検出により、SPLで何が達成できるかがわかります Splunk platform または無料アプリを使うと Splunk Security Essentials 。

このユースケースで役立つ検出には、次のようなものがあります。

Execution of file with multiple extensions

次のステップ

Splunk OnDemand Services: これらのクレジットベースのサービスを利用すると、事前定義されたカタログからさまざまな技術サービスを受けられる Splunk テクニカルコンサルタントに直接アクセスできます。ほとんどのお客様がオンデマンドサービス彼らによるとライセンスサポートプラン。ODSチームに次の場所で連絡してください。 ondemand@splunk.com サポートが必要な場合。