Logo Akuity SOC
Akuity SOC
CYBERSECURITY
Bedrohungsjagd und KQL

Der praktische Leitfaden von DeviceProcessEvents: Aufdecken von dateiloser Malware

5 min de lecture Akuity SOC · Delphisoft Deutschland

Angreifer nutzen PowerShell und CMD, um Antivirenprogramme zu umgehen. Erfahren Sie, wie Sie diese Fileless-Malware mit der KQL-DeviceProcessEvents-Tabelle aufspüren.

Die heutigen Cyberangriffe ähneln nicht mehr den Viren der 2000er Jahre. Professionelle Angreifer, einschließlich Ransomware-Partner, wissen, dass das Ablegen einer schädlichen ausführbaren Datei (.exe) auf einer Festplatte löst sofort das Antivirenprogramm aus. Ihre neue bevorzugte Waffe? DER„Leben vom Land“ (LotL)oder „dateilose“ Angriffe.

Anstatt ihre eigenen Tools mitzubringen, nutzen Hacker legitime Programme, die bereits auf Windows laufen, wie zPowerShelloder Eingabeaufforderung (CMD), um Schadcode direkt im RAM des Computers auszuführen. Um sie zu finden, müssen SOC-Analysten die KQL-Tabelle untersuchenDeviceProcessEventsim Microsoft Defender.

Was ist die DeviceProcessEvents-Tabelle?

Im Microsoft 365 Defender (Advanced Hunting)-Datenmodell die TabelleDeviceProcessEventsfungiert als „Tagebuch“ des Betriebssystems. Es zeichnet jedes Mal auf, wenn ein Prozess auf einer geschützten Maschine gestartet wird.

Es bietet unschätzbare Metadaten wie:

  • Der Prozessname (FileName).
  • Die genaue ausgeführte Befehlszeile (ProcessCommandLine).
  • Das Benutzerkonto, das die Aktion initiiert hat (AccountName).
  • Der übergeordnete Prozess, der diese Aktion generiert hat (InitiatingProcessFileName).

Verdächtige Techniken zum Aufspüren in KQL

Um einen dateilosen Angriff zu identifizieren, muss der Analyst nach anomalen Verhaltensweisen im Zusammenhang mit legitimen Dienstprogrammen suchen. Hier sind die häufigsten schwachen Signale:

1. Verschleierung (Base64)

Ein Systemadministrator verwendet PowerShell, um Aufgaben mit klaren Skripten zu automatisieren. Ein Angreifer wird versuchen, seinen Code zu verbergen, indem er ihn in Base64 kodiert. Der Parameter-EncodedCommand(oder seine Verknüpfungen-e,-enc) ist ein starker Indikator.

2. Stealth-Download

PowerShell wird oft als „Dropper“ verwendet, um die Ransomware-Payload von einem externen Command-and-Control-Server (C2) abzurufen, wobei Klassen wie verwendet werdenNet.WebClientOderInvoke-WebRequest.

3. Stille Ausführung

Um den Benutzer nicht vor dem kompromittierten Computer zu warnen, starten Hacker Hintergrundprozesse mithilfe von Einstellungen-WindowStyle HiddenOder-NonInteractive.

Die KQL-Vorlage: So automatisieren Sie die Suche

Das Schreiben der perfekten Abfrage zur Identifizierung dieser Verhaltensweisen erfordert umfassende KQL-Kenntnisse. Hier ist eine Beispielabfrage, die Bedrohungsjäger verwenden, um diese Prozesse zu isolieren:

DeviceProcessEvents
| where Timestamp > ago(7d)
| where FileName in~ ("powershell.exe", "cmd.exe")
| where ProcessCommandLine has_any("hidden", "encodedcommand", "enc", "bypass", "invoke-webrequest", "net.webclient")
| project Timestamp, DeviceName, AccountName, FileName, ProcessCommandLine, InitiatingProcessFileName
| sort by Timestamp desc

Der integrierte Ansatz mit Akuity SOC

Für einen MSSP oder ein internes SOC ist es ein betriebliches Risiko, einen Level-1-Analysten zu bitten, sich diese Art von Abfrage jedes Mal zu merken und einzugeben, wenn er eine Position einnimmt.

Aus diesem Grund ist die PlattformAkuity SOCintegriertSchnellabfragevorlagen.

In der Threat Hunting Multi-Tenant-Konsole lädt ein einziger Klick auf die Schaltfläche „Verdächtige Prozesse“ automatisch die optimierte KQL-Abfrage zur Nachverfolgungpowershell.exeUndcmd.exeim smaragdgrünen Eingabefeld.

Der Analyst muss lediglich den Zielkundenmandanten auswählen und die Abfrage ausführen. Die Ergebnisse (Zeit, Maschine und insbesondere die verdächtige Befehlszeile) werden sofort im asynchronen Ergebnisraster der Schnittstelle angezeigt.

Was tun bei einem positiven Befund?

Wenn die KQL-Abfrage eine PowerShell-Ausführung mit ungeklärtem Base64 zurückgibt, die von einem Word-Dokument initiiert wurde (z. B.:winword.exeals übergeordneter Prozess), gibt es keinen Zweifel mehr: Sie stehen vor einem Kompromiss, der im Gange ist.

Der Analyst kann dann zur Registerkarte „SOC-Behebung“ von Akuity wechseln, um mit einem Klick eine „Netzwerkisolation“ (über Intune) der gefährdeten Maschine auszulösen und so den Zugriff des Angreifers zu sperren, bevor er seinen Angriff abschließen kann.

Beschleunigen Sie Ihre proaktive Untersuchung.> Nutzen Sie unsere vorintegrierten KQL-Vorlagen in unseremMulti-Tenant Threat Hunting-Konsoleum Fileless-Malware in großem Umfang zu verfolgen.

Page Solution Associée

Zentralisiertes KQL für die Bedrohungssuche für MSSP

Verfolgen Sie schwache Signale im großen Maßstab über unsere KQL Multi-Tenant-Konsole. Asynchrone Ausführung, Vorlagen und Schutz durch Ratenbegrenzung.

Découvrir la solution complète

Articles du même cluster

Warum Threat Hunting KQL für einen MSSP zeitaufwändig ist (und wie man es automatisiert)

Eine proaktive Untersuchung ist wichtig, aber in großem Umfang komplex. Erfahren Sie, wie Sie Threat Hunting KQL über mehrere Microsoft Defender-Mandanten hinweg automatisieren.

Lire →

So sichern Sie Ihre globalen KQL-Ausführungen mit Rate Limiting

Die Advanced Hunting API von Microsoft ist leistungsstark, unterliegt jedoch Kontingenten. Finden Sie heraus, wie Akuity SOC Rate Limiting Ihre MSSP-Mandanten schützt.

Lire →

Netzwerkverbindungsfehler nach IP analysieren: Das zu kopierende KQL-Modell

Brute-Force- und Passwort-Spraying-Angriffe zielen auf Ihre Entra-ID-Konten ab. Erfahren Sie, wie Sie sie mithilfe der KQL-DeviceLogonEvents-Tabelle verfolgen.

Lire →

Isolieren Sie verdächtige Kommunikation: KQL für die Ports 4444 und 8080

Hacker nutzen nicht standardmäßige Netzwerkports, um Daten auszuschleusen. Erfahren Sie, wie Sie sie mit der DeviceNetworkEvents-Tabelle in KQL blockieren.

Lire →