修复了一些格式上的错误

wan-xiang · May 28, 2021 · 982c984 · 982c984
1 parent 06a8f59
commit 982c984
Show file tree

Hide file tree

Showing 7 changed files with 28 additions and 31 deletions.
diff --git a/4-执行/T1053-002-win-交互式at计划任务.md b/4-执行/T1053-002-win-交互式at计划任务.md
@@ -20,7 +20,7 @@ windows安全日志/sysmon日志
 
 成功执行后，cmd.exe将生成at.exe并创建计划任务，该任务将在特定时间生成cmd。
 
-```
+```yml
 at 17:28 /interactive cmd
 ```
 
@@ -48,7 +48,6 @@ TerminalSessionId: 1
 IntegrityLevel: High
 ```
 
-
 ## 检测规则/思路
 
 ```yml
@@ -79,7 +78,6 @@ level: low
 
 除了基于sysmon日志之外，高版本的Windows操作系统，也可以通过系统安全日志中4688进行检测
 
-
 ## 参考推荐
 
 MITRE-ATT&CK-T1053-002

diff --git a/4-执行/T1059-001-win-基于白名单Powershell.exe执行Payload.md b/4-执行/T1059-001-win-基于白名单Powershell.exe执行Payload.md
@@ -128,6 +128,6 @@ level: medium
 
 ## 参考推荐
 
-MITRE-ATT&CK-T1059
+MITRE-ATT&CK-T1059-001
 
-<https://attack.mitre.org/techniques/T1059/>
+<https://attack.mitre.org/techniques/T1059/001/>
diff --git a/4-执行/T1059-001-win-检测PowerShell2.0版本执行.md b/4-执行/T1059-001-win-检测PowerShell2.0版本执行.md
@@ -42,25 +42,25 @@ C:\Users\12306br0>powershell -v 2
 已创建新进程。
 
 创建者主题:
-	安全 ID:		361A\12306br0
-	帐户名:		12306br0
-	帐户域:		361A
-	登录 ID:		0x507DC
+ 安全 ID:  361A\12306br0
+ 帐户名:  12306br0
+ 帐户域:  361A
+ 登录 ID:  0x507DC
 
 目标主题:
-	安全 ID:		NULL SID
-	帐户名:		-
-	帐户域:		-
-	登录 ID:		0x0
+ 安全 ID:  NULL SID
+ 帐户名:  -
+ 帐户域:  -
+ 登录 ID:  0x0
 
 进程信息:
-	新进程 ID:		0x1158
-	新进程名称:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
-	令牌提升类型:	%%1938
-	强制性标签:		Mandatory Label\Medium Mandatory Level
-	创建者进程 ID:	0x17cc
-	创建者进程名称:	C:\Windows\System32\cmd.exe
-	进程命令行:	powershell  -v 2
+ 新进程 ID:  0x1158
+ 新进程名称: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
+ 令牌提升类型: %%1938
+ 强制性标签:  Mandatory Label\Medium Mandatory Level
+ 创建者进程 ID: 0x17cc
+ 创建者进程名称: C:\Windows\System32\cmd.exe
+ 进程命令行: powershell  -v 2
 
 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。
 
@@ -105,7 +105,7 @@ level: medium
 
 ## 参考推荐
 
-MITRE-ATT&CK-T1059
+MITRE-ATT&CK-T1059-001
 
 <https://attack.mitre.org/techniques/T1059/001/>
 

diff --git a/4-执行/T1059-001-win-检测PowerShell下载文件.md b/4-执行/T1059-001-win-检测PowerShell下载文件.md
@@ -1,4 +1,4 @@
-# T1059-001-win-检测Powershell下载文件行为
+# T1059-001-win-检测Powershell下载文件
 
 ## 来自ATT&CK的描述
 
@@ -57,11 +57,11 @@ detection:
             - '*Net.WebClient*'
             - '*DownloadFile*'
             - '*Invoke-WebRequest*'
-			- '*Invoke-Shellcode*'
-			- '*http*'
-			- '*Start-BitsTransfer*'
-			- '*IEX*'
-			- '*mpcmdrun.exe*'
+            - '*Invoke-Shellcode*'
+            - '*http*'
+            - '*Start-BitsTransfer*'
+            - '*IEX*'
+            - '*mpcmdrun.exe*'
     condition: selection
 level: medium
 ```
@@ -72,7 +72,7 @@ level: medium
 
 ## 参考推荐
 
-MITRE-ATT&CK-T1059
+MITRE-ATT&CK-T1059-001
 
 <https://attack.mitre.org/techniques/T1059/001/>
 

diff --git a/4-执行/T1059-004-linux-脚本.md b/4-执行/T1059-004-linux-脚本.md
@@ -47,4 +47,4 @@ MITRE-ATT&CK-T1059-004
 
 Audit配置手册
 
-s<https://www.cnblogs.com/bldly1989/p/7204358.html>
+<https://www.cnblogs.com/bldly1989/p/7204358.html>
diff --git a/4-执行/T1218-011-win-基于白名单Rundll32.exe执行payload.md b/4-执行/T1218-011-win-基于白名单Rundll32.exe执行payload.md
@@ -160,7 +160,6 @@ falsepositives:
 level: high
 ```
 
-
 ### 建议
 
 通过进程监控来检测和分析rundll32.exe的执行和参数。比较rundll32.exe的近期调用与历史已知合法参数及已加载动态链接库来确定是否有异常和潜在的攻击活动。在rundll32.exe调用之前和之后使用的命令参数也可用于确定正在加载的动态链接库的来源和目的。

diff --git a/4-执行/T1218-011-win-通过Rundll32的异常网络链接.md b/4-执行/T1218-011-win-通过Rundll32的异常网络链接.md
@@ -120,4 +120,4 @@ MITRE-ATT&CK-T1218-011
 
 通过Rundll32的异常网络链接
 
-<https://www.elastic.co/guide/en/siem/guide/current/unusual-network-connection-via-rundll32.html>
+<https://www.elastic.co/guide/en/siem/guide/current/unusual-network-connection-via-rundll32.html>
Original file line number	Diff line number	Diff line change
Expand Up		@@ -47,4 +47,4 @@ MITRE-ATT&CK-T1059-004

		Audit配置手册

		s<https://www.cnblogs.com/bldly1989/p/7204358.html>
		<https://www.cnblogs.com/bldly1989/p/7204358.html>
-Original file line number
+Diff line change
@@ Expand Up / @@ -160,7 +160,6 @@ falsepositives: @@
     level: high
     ```
     ### 建议
     通过进程监控来检测和分析rundll32.exe的执行和参数。比较rundll32.exe的近期调用与历史已知合法参数及已加载动态链接库来确定是否有异常和潜在的攻击活动。在rundll32.exe调用之前和之后使用的命令参数也可用于确定正在加载的动态链接库的来源和目的。
@@ Expand Down @@
Original file line number	Diff line number	Diff line change
Expand Up		@@ -120,4 +120,4 @@ MITRE-ATT&CK-T1218-011

		通过Rundll32的异常网络链接

		<https://www.elastic.co/guide/en/siem/guide/current/unusual-network-connection-via-rundll32.html>
		<https://www.elastic.co/guide/en/siem/guide/current/unusual-network-connection-via-rundll32.html>