查看: 19774|回复: 0

[其他] WPS 0day EDR检测规则

[复制链接]
匿名
匿名  发表于 2022-8-4 14:00:40 |阅读模式
近日, Windows 平台下 WPS Office 个人版和企业版的RCE(远程代码执行)0day 漏洞,金山官方修复该漏洞后,第一时间发布了相关的漏洞预警。

检测规则1

规则含义:检测wps\et\wpp等进程是否创建powershell\*script\rundll32此类可疑进程,以及是否创建无签名类可疑进程。

规则内容:
[AppleScript] 纯文本查看 复制代码
id: 0
date: 2022/08/02
author: 'ThreatBook'
logsource:
    product: windows
    category: process_creation
detection:
    selection1:
        Image|endswith:
            - '\regsvr32.exe'
            - '\rundll32.exe'
            - '\mshta.exe'
            - '\verclsid.exe'
            - '\control.exe'
            - '\wmic.exe'
            - '\cscript.exe'
            - '\wscript.exe'
            - '\powershell.exe'
        ParentImage|endswith:
            - '\wps.exe'
            - '\et.exe'
            - '\wpp.exe'
    selection2:
        Image|endswith:
            - '\cmd.exe'
        CommandLine|contains:
            - ' regsvr32'
            - ' rundll32'
            - ' mshta'
            - ' verclsid'
            - ' control'
            - ' wmic'
            - ' cscript'
            - ' wscript'
            - ' powershell'
        ParentImage|endswith:
            - '\wps.exe'
            - '\et.exe'
            - '\wpp.exe'
    selection3:
        ImageSignStatus:
            - 'Unable'
        ParentImage|endswith:
            - '\wps.exe'
            - '\et.exe'
            - '\wpp.exe'
    condition: 1 of selection*


检测规则2

规则含义:检测wps\et\wpp等进程是否通过smb协议加载sct脚本。

规则内容:
[AppleScript] 纯文本查看 复制代码
id: 1
date: 2022/08/02
author: 'ThreatBook'
logsource:
    product: windows
    category: smbfile_transmit
detection:
    selection:
        TargetFilename|contains:
            - '.sct'
        Image|endswith:
            - '\wps.exe'
            - '\et.exe'
            - '\wpp.exe'
    condition: selection
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-12-26 03:55 , Processed in 0.022604 second(s), 14 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部