Рекомендуется выявлять и анализировать следующие признаки вредоносной активности:
- Запуск с помощью exe/excel.exe таких процессов как rundll32.exe или regsvr32.exe.
- Запуски exe / wscript.exe, особенно те, которые связаны с сетевой активностью.
- Процессы exe с обфусцированными командными строками.
- Исполняемые файлы и скрипты, помещенные в папку автозагрузки, добавленные в ключи Run или запускаемые с помощью планировщика задач.
- Выполнение exe на предмет подозрительных аргументов командной строки.
- Создание новых ключей в разделе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options.
- Командные строки, характерные для средств дампинга учетных данных, таких как Mimikatz.
- Артефакты, характерные для инструментов сетевой разведки, такие как аргументы командной строки AdFind.
- Артефакты, связанные с выполнением файлов из необычных мест, таких как C:\ProgramData, %TEMP% или %AppData%.
- Модификации реестра и брандмауэра Windows, связанные с подключениями по RDP.
- Соединения по RDP, для обнаружения попыток продвижения по сети.
- Запуски exe с использованием подозрительных командных строк.
- Аномальное поведение exe, особенно связанное с загрузкой потенциально вредоносных файлов.
- Инструменты Cobalt Strike Beacon и подобные им, характерные для пост-эксплуатационных фреймворков (как минимум те, которые запускаются с типичными аргументами командной строки и из типичных мест).
- События создания новых служб, связанных с PsExec, SMBExec и другими средствами двойного назначения или инструментами пентестинга.
- Исполняемые файлы, замаскированные под общие системные файлы (такие как exe), но имеющие аномальные родительские файлы или местоположение.
- События установки клиентов облачных хранилищ и события доступа к облачном хранилищам, и проверяйте, являются ли они легитимными.