WPS 0day EDR檢測規則

近日，微步旗下的“X漏洞獎勵計劃”收錄 Windows 平臺下 WPS Office 個人版和企業版的RCE（遠程代碼執行）0day 漏洞，協助金山官方修復該漏洞后，微步情報局第一時間發布了相關的漏洞預警（詳見：WPS出現0day漏洞，請立即升級！）

預警發布后，大量企業客戶聯系微步咨詢如何應對，尤其是如何檢測是否受到該漏洞的攻擊。為了急防守方單位之所急，我們決定公開微步在線OneEDR產品檢測團隊針對該漏洞編寫的檢測規則，供大家參考使用：

檢測規則1

規則含義：檢測wps\et\wpp等進程是否創建powershell\*script\rundll32此類可疑進程，以及是否創建無簽名類可疑進程。

規則內容：

id: 0date: 2022/08/02author: 'ThreatBook'logsource:    product: windows    category: process_creationdetection:    selection1:        Image|endswith:            - '\regsvr32.exe'            - '\rundll32.exe'            - '\mshta.exe'            - '\verclsid.exe'            - '\control.exe'            - '\wmic.exe'            - '\cscript.exe'            - '\wscript.exe'            - '\powershell.exe'        ParentImage|endswith:            - '\wps.exe'            - '\et.exe'            - '\wpp.exe'    selection2:        Image|endswith:            - '\cmd.exe'        CommandLine|contains:            - ' regsvr32'            - ' rundll32'            - ' mshta'            - ' verclsid'            - ' control'            - ' wmic'            - ' cscript'            - ' wscript'            - ' powershell'        ParentImage|endswith:            - '\wps.exe'            - '\et.exe'            - '\wpp.exe'    selection3:        ImageSignStatus:            - 'Unable'        ParentImage|endswith:            - '\wps.exe'            - '\et.exe'            - '\wpp.exe'    condition: 1 of selection*

檢測規則2

規則含義：檢測wps\et\wpp等進程是否通過smb協議加載sct腳本。

規則內容：

id: 1date: 2022/08/02author: 'ThreatBook'logsource:    product: windows    category: smbfile_transmitdetection:    selection:        TargetFilename|contains:            - '.sct'        Image|endswith:            - '\wps.exe'            - '\et.exe'            - '\wpp.exe'    condition: selection