Windows ファイル拡張子の不正使用を検出する

攻撃者は、ユーザーが使い慣れたファイル拡張子を標的にして、ユーザーに悪意のあるコードを実行させたり、エンドポイントに残り続けさせたりすることができます。たとえば、ファイルの末尾が.doc または.docx であることがわかると、ユーザーは Microsoft Word 文書であると想定し、ダブルクリックすると winword.exe を使用してそのファイルが開かれることを想定します。また、ユーザーは通常、.docx ファイルは安全だと思い込んでいます。攻撃者はこの予想を悪用して、実際のファイル拡張子をわかりにくくします。

このユースケースは、攻撃者が実際のファイル拡張子を不明瞭にするために使用する一般的な手法である、ファイル名に複数の拡張子が付いたファイルの実行を検索することで、このようなファイル拡張子や Windows ファイルの関連付けの不正使用を検出するのに役立ちます。

必要なデータ

正規化エンドポイントデータホストからのプロセスアクティビティを記録します。CIM のインストールと使用方法については、を参照してください。共通情報モデルのドキュメンテーション。

このユースケースでの Splunk ソフトウェアの使い方

このユースケースを導入するには、以下のものが揃っていることを確認してください。 Splunk ES Content Updates にインストールされています。 Splunk エンタープライズセキュリティデプロイ。この豊富なコンテンツライブラリにより、すぐに使えるセキュリティ検出と分析ストーリーを導入して、調査を強化し、セキュリティ体制を改善することができます。Splunk Enterprise Securityを利用していない場合でも、これらの検出機能により、Splunkプラットフォームまたは無料アプリで SPL で何ができるかがわかります。 Splunk セキュリティエッセンシャル。

このユースケースで役立つ検出には、次のようなものがあります。

Execution of file with multiple extensions

次のステップ

以下のリソースは、このガイダンスの理解と実装に役立つ場合があります。

Splunk OnDemand Services: これらのクレジットベースのサービスを利用すると、事前定義されたカタログからさまざまな技術サービスを受けられる Splunk の技術コンサルタントに直接アクセスできます。ほとんどのお客様はオンデマンドサービス彼らによるとサクセスプラン。ODSチームに問い合わせてください ondemand@cisco.com サポートが必要な場合。