WPS 0day EDR检测规则

近日，微步旗下的“X漏洞奖励计划”收录 Windows 平台下 WPS Office 个人版和企业版的RCE（远程代码执行）0day 漏洞，协助金山官方修复该漏洞后，微步情报局第一时间发布了相关的漏洞预警（详见：WPS出现0day漏洞，请立即升级！）

预警发布后，大量企业客户联系微步咨询如何应对，尤其是如何检测是否受到该漏洞的攻击。为了急防守方单位之所急，我们决定公开微步在线OneEDR产品检测团队针对该漏洞编写的检测规则，供大家参考使用：

检测规则1

规则含义：检测wps\et\wpp等进程是否创建powershell\*script\rundll32此类可疑进程，以及是否创建无签名类可疑进程。

规则内容：

id: 0date: 2022/08/02author: 'ThreatBook'logsource:    product: windows    category: process_creationdetection:    selection1:        Image|endswith:            - '\regsvr32.exe'            - '\rundll32.exe'            - '\mshta.exe'            - '\verclsid.exe'            - '\control.exe'            - '\wmic.exe'            - '\cscript.exe'            - '\wscript.exe'            - '\powershell.exe'        ParentImage|endswith:            - '\wps.exe'            - '\et.exe'            - '\wpp.exe'    selection2:        Image|endswith:            - '\cmd.exe'        CommandLine|contains:            - ' regsvr32'            - ' rundll32'            - ' mshta'            - ' verclsid'            - ' control'            - ' wmic'            - ' cscript'            - ' wscript'            - ' powershell'        ParentImage|endswith:            - '\wps.exe'            - '\et.exe'            - '\wpp.exe'    selection3:        ImageSignStatus:            - 'Unable'        ParentImage|endswith:            - '\wps.exe'            - '\et.exe'            - '\wpp.exe'    condition: 1 of selection*

检测规则2

规则含义：检测wps\et\wpp等进程是否通过smb协议加载sct脚本。

规则内容：

id: 1date: 2022/08/02author: 'ThreatBook'logsource:    product: windows    category: smbfile_transmitdetection:    selection:        TargetFilename|contains:            - '.sct'        Image|endswith:            - '\wps.exe'            - '\et.exe'            - '\wpp.exe'    condition: selection