Potential PowerShell Execution Policy Tampering - ProcCreation

calendar Aug 12, 2024 · attack.defense-evasion  ·
Share on: linkedin copy

Detects changes to the PowerShell execution policy registry key in order to bypass signing requirements for script execution from the CommandLine

Sigma rule (View on GitHub)

 1title: Potential PowerShell Execution Policy Tampering - ProcCreation
 2id: cf2e938e-9a3e-4fe8-a347-411642b28a9f
 3related:
 4    - id: fad91067-08c5-4d1a-8d8c-d96a21b37814 # ProcCreation Registry
 5      type: similar
 6    - id: 87e3c4e8-a6a8-4ad9-bb4f-46e7ff99a180 # ProcCreation Cmdlet
 7      type: similar
 8    - id: 61d0475c-173f-4844-86f7-f3eebae1c66b # PowerShell ScriptBlock
 9      type: similar
10status: test
11description: Detects changes to the PowerShell execution policy registry key in order to bypass signing requirements for script execution from the CommandLine
12references:
13    - https://learn.microsoft.com/de-de/powershell/module/microsoft.powershell.security/set-executionpolicy?view=powershell-7.3
14author: Nasreddine Bencherchali (Nextron Systems)
15date: 2023-01-11
16tags:
17    - attack.defense-evasion
18logsource:
19    product: windows
20    category: process_creation
21detection:
22    selection_path:
23        CommandLine|contains:
24            - '\ShellIds\Microsoft.PowerShell\ExecutionPolicy'
25            - '\Policies\Microsoft\Windows\PowerShell\ExecutionPolicy'
26    selection_values:
27        CommandLine|contains:
28            - 'Bypass'
29            - 'RemoteSigned'
30            - 'Unrestricted'
31    condition: all of selection_*
32falsepositives:
33    - Unknown
34level: high

References

  • Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell

    Das Set-ExecutionPolicy Cmdlet ändert PowerShell-Ausführungsrichtlinien für Windows-Computer. Weitere Informationen finden Sie unter Informationen zu Ausführungsrichtlinien. Ab PowerShell 6.0 für Nicht-Windows-Computer ist Unrestricted die Standardausführungsrichtlinie und kann nicht geändert werden. Das Set-ExecutionPolicy Cmdlet ist verfügbar, aber PowerShell zeigt eine Konsolenmeldung an, dass es nicht unterstützt wird. Eine Ausführungsrichtlinie ist Teil der PowerShell-Sicherheitsstrategie. Ausführungsrichtlinien bestimmen, ob Sie Konfigurationsdateien wie Ihr PowerShell-Profil laden oder Skripts ausführen können. Und ob Skripts digital signiert werden müssen, bevor sie ausgeführt werden. Der Set-ExecutionPolicy Standardbereich des Cmdlets ist LocalMachine, was sich auf alle Benutzer des Computers auswirkt. Um die Ausführungsrichtlinie für LocalMachinezu ändern, starten Sie PowerShell mit "Als Administrator ausführen". Um die Ausführungsrichtlinien für jeden Bereich anzuzeigen, verwenden Sie Get-ExecutionPolicy -List. Um die effektive Ausführungsrichtlinie für Ihre PowerShell-Sitzung Get-ExecutionPolicy ohne Parameter anzuzeigen.


    Read More

Related rules

to-top