ESCU Alert - Renamed LOLBAS Execution Analysis

چرا این هشدار صادر می‌شود؟

این قانون فایل‌هایی را شناسایی می‌کند که نام فایل اجرایی آن‌ها روی دیسک (process_name) با نام اصلی فایل (original_file_name) که در فراداده‌های فایل ثبت شده، متفاوت است. این بررسی به طور خاص بر روی ابزارهای LOLBAS تمرکز دارد که در مسیرهای غیر استاندارد اجرا می‌شوند. مهاجمان برای فرار از تشخیص سیستم‌های امنیتی که بر اساس نام فایل کار می‌کنند، ابزارهای سیستمی (مانند certutil.exe) را کپی کرده و با نامی بی‌خطر (مانند notepad.exe) اجرا می‌کنند.

Logic: process_name != original_file_name
Target: LOLBAS Tools
Location: Non-System Directories
Technique: Masquerading (T1036.003) / Rename System Utilities

تغییر نام ابزارهای سیستمی یکی از روش‌های کلاسیک برای پنهان کردن فعالیت‌های مخرب از دید تحلیلگران و ابزارهای مانیتورینگ ساده است.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

تغییر نام Certutil: فایلی به نام update.exe یا downloader.exe اجرا شده که در اصل certutil.exe است و برای دانلود بدافزار استفاده می‌شود.
اجرا از پوشه Temp: ابزارهای سیستمی تغییر نام یافته که از پوشه‌های موقت کاربر (%TEMP%) اجرا می‌شوند.
تغییر نام به فرآیندهای سیستمی: تغییر نام ابزارهایی مثل powershell.exe به svchost.exe برای فریب دادن ادمین در Task Manager.

سناریوهای متوسط

ابزارهای مدیریت از راه دور: استفاده از ابزارهایی مانند PsExec یا wmic با نام تغییر یافته برای حرکت جانبی در شبکه.
نصب‌کننده‌های سفارشی: برخی نصب‌کننده‌های نرم‌افزار ممکن است ابزارهای سیستمی را با نام موقت کپی و اجرا کنند.

سناریوهای کم‌خطر (مثبت کاذب)

ابزارهای پرتابل: نسخه‌های بدون نیاز به نصب ابزارهای سیستمی که توسط ادمین‌ها استفاده می‌شوند.
توسعه‌دهندگان: برنامه‌نویسانی که ابزارهای بیلد (مانند MSBuild.exe) را در پروژه‌های خود کپی و تغییر نام می‌دهند.

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، موارد زیر را بررسی کنید:

نشانه قطعی خطر: اگر فایل original_file_name برابر با cmd.exe یا powershell.exe باشد اما نام فایل اجرایی چیز دیگری باشد، نفوذ بسیار محتمل است.

نام اصلی فایل: فایل واقعاً چیست؟ (rundll32, regsvr32, installutil).
مسیر اجرا: فایل از کجا اجرا شده است؟ (اجرا از Users یا ProgramData بسیار مشکوک است).
هش فایل: هش فایل را در VirusTotal بررسی کنید تا ببینید آیا فایل سیستمی سالم است یا بدافزاری که خود را جا زده است.
خط فرمان: آرگومان‌های دستور چه هستند؟ آیا به دانلود فایل یا اجرای اسکریپت اشاره دارند؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Sysmon Event ID 1 (Process Creation)
Windows Security Event 4688 (Process Creation)
نکته: فیلد OriginalFileName باید در لاگ‌ها فعال باشد.

دیتامدل‌های مورد استفاده

Endpoint.Processes

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های سیستمی، این فیلدها حیاتی هستند:

original_file_name

process_name

process_path

process (Command Line)

user

parent_process