ESCU Alert - Batch File Write to System32 Analysis

چرا این هشدار صادر می‌شود؟

این قانون ایجاد فایل‌های با پسوند .bat در پوشه‌های سیستمی حساس مانند System32 یا SysWOW64 را شناسایی می‌کند. نوشتن فایل در این مسیرها نیازمند دسترسی ادمین است و معمولاً توسط بدافزارها برای پنهان شدن، تداوم دسترسی (Persistence) یا اجرای کدهای مخرب با سطح دسترسی بالا انجام می‌شود.

File Path: System32, SysWOW64
File Extension: .bat
Technique: System Binary Proxy Execution (T1218)

فایل‌های دسته‌ای در این مسیرها می‌توانند به عنوان اسکریپت‌های پاکسازی ردپا، یا برای اجرای زنجیره‌ای از دستورات مخرب استفاده شوند.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

اسکریپت‌های مخرب: ایجاد فایل‌های .bat توسط فرآیندهای مشکوک مانند powershell.exe یا cmd.exe که از اینترنت دانلود شده‌اند.
تداوم دسترسی: قرار دادن فایل دسته‌ای در System32 و سپس فراخوانی آن از طریق سرویس‌ها یا وظایف زمان‌بندی شده.
پنهان‌کاری: استفاده از نام‌های مشابه فایل‌های سیستمی (مانند svchost.bat) برای فریب مدیران شبکه.

سناریوهای متوسط

نصب‌کننده‌های قدیمی: برخی نرم‌افزارهای قدیمی ممکن است برای نصب یا پیکربندی، فایل‌های موقت در System32 ایجاد کنند.
اسکریپت‌های ادمین: مدیران شبکه که برای انجام وظایف مدیریتی، اسکریپت‌های دسته‌ای را در مسیر سیستم کپی می‌کنند.

سناریوهای کم‌خطر (مثبت کاذب)

به‌روزرسانی‌های ویندوز: فرآیندهای به‌روزرسانی رسمی مایکروسافت که ممکن است فایل‌های موقت ایجاد کنند (بسیار نادر برای .bat).
ابزارهای شخص ثالث معتبر: برخی ابزارهای امنیتی یا مدیریتی معتبر که رفتار مشابهی دارند.

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، این موارد را بررسی کنید:

نشانه قطعی خطر: اگر فایل .bat توسط یک فرآیند مشکوک (مانند آفیس یا مرورگر) ایجاد شده باشد و محتوای آن شامل دستورات مخرب باشد، سیستم آلوده است.

محتوای فایل: اگر امکان دارد، محتوای فایل دسته‌ای را بررسی کنید. آیا دستورات خطرناک دارد؟
فرآیند ایجادکننده: چه برنامه‌ای فایل را ایجاد کرده است؟ (process_name).
کاربر: آیا کاربری که فایل را ایجاد کرده دسترسی ادمین داشته است؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Sysmon Event ID 11 (File Create)
Windows Security Event 4663
Sysmon Event ID 1 (Process Creation)

دیتامدل‌های مورد استفاده

Endpoint.Filesystem
Endpoint.Processes

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌ها در Splunk، این فیلدها حیاتی هستند:

file_name

file_path

process_name

user

dest

parent_process_name