تحلیل قانون: اجرای Notepad بدون آرگومان

Notepad with no Command Line Arguments - Rule Analysis

چرا این هشدار صادر می‌شود؟

این قانون اجرای فرآیند notepad.exe را در حالتی که هیچ آرگومانی (مانند مسیر فایل) در خط فرمان آن وجود ندارد، شناسایی می‌کند. اگرچه اجرای Notepad خالی توسط کاربر (از طریق Run یا منوی استارت) ممکن است، اما مهاجمان اغلب از این برنامه برای تکنیک‌هایی مانند تزریق کد (Process Injection) یا خالی کردن فرآیند (Process Hollowing) استفاده می‌کنند.

Process: notepad.exe
Command Line: notepad.exe (Empty/Null)
Technique: Process Injection (T1055)

در این تکنیک، بدافزار پروسه Notepad را اجرا کرده، کد اصلی آن را از حافظه خارج می‌کند و کد مخرب خود را جایگزین می‌کند تا در پس‌زمینه و با ظاهری قانونی اجرا شود.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

  • والد مشکوک: اجرای Notepad توسط ابزارهای اسکریپتی مثل powershell.exe, cmd.exe یا فایل‌های آفیس (winword.exe).
  • اتصال به شبکه: فرآیند Notepad در حالت عادی نباید به اینترنت متصل شود. هرگونه اتصال شبکه از این پروسه نشانه قطعی آلودگی است.
  • اجرا توسط سرویس‌ها: اجرای Notepad به عنوان فرزند services.exe یا svchost.exe.

سناریوهای متوسط

  • اسکریپت‌های ادمین: استفاده از Notepad در اسکریپت‌های مدیریتی برای نمایش لاگ یا پیام به کاربر (نادر اما ممکن).
  • تکرار زیاد: باز شدن تعداد زیادی پنجره Notepad بدون آرگومان در مدت کوتاه.

سناریوهای کم‌خطر (مثبت کاذب)

  • اجرای دستی کاربر: باز کردن Notepad از طریق منوی استارت یا پنجره Run توسط کاربر (والد معمولاً explorer.exe است).

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، موارد زیر را بررسی کنید:

نشانه قطعی خطر: اگر Notepad به یک آدرس IP خارجی متصل شده باشد (C2 Communication)، سیستم آلوده است.

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

  • Sysmon Event ID 1 (Process Creation)
  • Windows Security Event 4688

دیتامدل‌های مورد استفاده

  • Endpoint.Processes

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های سیستمی در Splunk، این فیلدها حیاتی هستند:

process_name (notepad.exe)
process (Command Line)
parent_process_name
user
dest