小结
你可能会注意到在 MDATP 门户的 Microsoft Defender 高级威胁防护 (收集) 事件。 这些事件由 CI (代码完整性) ,并且可以通过 其 ExploitGuardNonMicrosoftSignedBlocked ActionType 进行标识。
终结点事件日志中显示的事件
|
ActionType |
提供程序/源 |
事件 ID |
说明 |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
代码完整性防护块 |
时间线中显示的事件
进程"\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) 被阻止加载非 Microsoft 签名的二进制文件"\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll"
详细信息
CI 引擎确保只允许受信任的文件在设备上执行。 启用 CI 并遇到不受信任的文件时,会生成块事件。 在"审核"模式下,仍允许执行该文件,而在"强制"模式下,将阻止执行该文件。
可通过多种方式启用 CI,包括何时使用 WDAC Windows Defender策略 (CI) CI。 但是,在这种情况下,MDATP 在后端启用 CI,当遇到来自 Microsoft 的无符号本机映像 (NI) 文件时,会触发事件。
对文件进行签名是为了验证该文件的真实性。 CI 可以验证文件是否未修改,以及是否源自基于其签名的受信任颁发机构。 大多数源自 Microsoft 的文件已签名,但某些文件因各种原因无法签名或不签名。 例如,从 .NET Framework (编译的 NI 二进制文件) 如果包含在版本中,则通常会进行签名。 但是,它们通常在设备上重新生成,并且无法签名。 另外,许多应用程序只对 CAB 或 MSI 文件进行签名,以在安装时验证其真实性。 运行时,会创建未签名的其他文件。
缓解措施
不建议忽略这些事件,因为它们可能指示真正的安全问题。 例如,恶意攻击者可能会尝试以源自 Microsoft 的为名加载无符号二进制文件。
但是,尝试通过排除 具有 ExploitGuardNonMicrosoftSignedBlocked ActionType 的事件来分析高级搜寻中的其他事件时,可以通过查询筛选出这些事件。
此查询会显示与此特定过度检测相关的所有事件:
DeviceEvents
|Where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" and FileName endswith "ni.dll"
|其中 Timestamp > ago (7d)
如果要排除此事件,必须反转查询。 这会显示所有 ExploitGuard (包括 EP) 事件,但以下事件除外:
DeviceEvents
|其中 ActionType 以"ExploitGuard"开头
|其中 ActionType != "ExploitGuardNonMicrosoftSignedBlocked" 或 (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName != "powershell.exe"powershell.exe ) 或 (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" and FileName !endswith "ni.dll")
|其中 Timestamp > ago (7d)
此外,如果使用 .NET Framework 4.5 或更高版本,可以选择重新生成 NI 文件来解决许多多余的事件。 为此,请删除 NativeImages 目录中的所有 NI 文件,然后运行ngen update 命令以重新生成这些文件。
