ESCU Alert - Windows Defender Exclusion Analysis

چرا این هشدار صادر می‌شود؟

این قانون استفاده از دستورات Add-MpPreference یا Set-MpPreference در پاورشل را شناسایی می‌کند که برای اضافه کردن استثنائات (Exclusions) به آنتی‌ویروس ویندوز دفندر به کار می‌روند. مهاجمان از این روش برای جلوگیری از اسکن و شناسایی فایل‌ها یا پوشه‌های مخرب خود توسط آنتی‌ویروس استفاده می‌کنند.

Process: powershell.exe
Commandlets: Add-MpPreference, Set-MpPreference
Arguments: -ExclusionPath, -ExclusionExtension, -ExclusionProcess
Technique: Impair Defenses (T1562.001)

با اجرای این دستورات، مهاجم می‌تواند مسیری که بدافزار در آن قرار دارد یا پسوند فایل‌های مخرب خود را از دید آنتی‌ویروس مخفی کند.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

استثنا کردن کل درایو یا سیستم: دستوراتی که کل درایو C:\ یا پوشه‌های سیستمی مانند System32 را از اسکن خارج می‌کنند.
استثنا کردن پسوندهای خطرناک: اضافه کردن استثنا برای پسوندهای اجرایی و اسکریپتی مانند .exe, .dll, .ps1, .bat.
اجرا توسط والد مشکوک: اجرای دستور پاورشل توسط برنامه‌های آفیس (Word/Excel) یا مرورگرها.

سناریوهای متوسط

پوشه‌های موقت: استثنا کردن پوشه‌هایی که معمولاً محل فعالیت بدافزار هستند، مانند %TEMP% یا AppData.
استثنا کردن فرآیندهای خاص: جلوگیری از اسکن فعالیت‌های یک پروسه خاص (مانند powershell.exe).

سناریوهای کم‌خطر (مثبت کاذب)

تنظیمات سازمانی: اسکریپت‌های مدیریتی که برای بهبود عملکرد نرم‌افزارهای خاص (مانند دیتابیس SQL یا ابزارهای توسعه) مسیرهای مشخصی را استثنا می‌کنند.
نصب نرم‌افزار: برخی نصب‌کننده‌های نرم‌افزارهای سنگین ممکن است برای جلوگیری از کندی، پوشه نصب خود را استثنا کنند.

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، این موارد را بررسی کنید:

نشانه قطعی خطر: اگر دستور استثنا کردن (Exclusion) بلافاصله پس از دانلود یک فایل یا اجرای یک ماکرو صادر شود، سیستم آلوده است.

مسیر استثنا شده: دقیقاً چه مسیری از اسکن خارج شده است؟ آیا مسیری عمومی است یا مختص یک برنامه خاص؟
کاربر اجرا کننده: آیا این دستور توسط یک ادمین سیستم اجرا شده یا یک کاربر عادی؟
فرآیند والد: چه برنامه‌ای پاورشل را فراخوانی کرده است؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Sysmon Event ID 1 (Process Creation)
Windows Security Event 4688
PowerShell Script Block Logging (Event 4104)

دیتامدل‌های مورد استفاده

Endpoint.Processes

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌ها در Splunk، این فیلدها حیاتی هستند:

process

parent_process_name

user

dest

process_path