Detecção Windowsabuso de extensão de arquivo

Last updated
Save as PDF
Share
1. Share
2. Tweet
3. Share

Os atacantes podem fazer com que os utilizadores executem códigos maliciosos ou persistam num ponto final, visando extensões de ficheiros com as quais os utilizadores estão familiarizados. Por exemplo, se os utilizadores virem que um ficheiro termina em.doc ou .docx, assumirão que se trata de um documento do Microsoft Word e esperam que um duplo clique o abra utilizando winword.exe. O utilizador irá normalmente também assumir que o ficheiro.docx é seguro. Os atacantes aproveitam esta expectativa ofuscando a verdadeira extensão do ficheiro.

Este caso de utilização ajuda-o a detectar este tipo de abuso de extensões de ficheiro e Windows associações de ficheiros através da procura da execução de ficheiros com várias extensões no nome do ficheiro, uma técnica comum utilizada pelos invasores para obscurecer a verdadeira extensão do ficheiro.

Dados requeridos

Normalizado dados do ponto final que registra a atividade do processo dos seus anfitriões. Para obter informações sobre a instalação e utilização do CIM, consulte o Documentação do Modelo de Informação Comum .

Como utilizar o software Splunk para este caso de utilização

Para implementar este caso de utilização, certifique-se de que tem o Splunk ES Content Updates instalado no seu Splunk Enterprise Security implantação. Esta extensa biblioteca de conteúdos permite-lhe implementar detecções de segurança prontas para uso e histórias analíticas para melhorar as suas investigações e melhorar a sua postura de segurança. Se não tem Splunk Enterprise Security , estas detecções vão ainda dar-lhe uma ideia do que pode realizar com SPL no Splunk platform ou com a aplicação gratuita, Splunk Security Essentials .

Algumas das detecções que podem ajudá-lo com este caso de uso incluem:

Execution of file with multiple extensions

Próximos passos

Estes recursos do Splunk podem ajudá-lo a compreender e implementar este caso de utilização: