Skip to content

Latest commit

 

History

History
1693 lines (1689 loc) · 25.5 KB

hiding_in_plain_sight_service_names.md

File metadata and controls

1693 lines (1689 loc) · 25.5 KB

Commonly used malicious service names used to evade detection

MDE

// create a dynamic list of commonly used malicious service names used to evade detection..
let service_name_evade = dynamic(['_sachost.exe',
'_svch0st.exe',
'_svchost.exe',
'00svchost.exe',
'0svchost.exe',
'achost.exe',
'chost.exe',
'cvhost.exe',
'cvshost.exe',
'isvchosty.exe',
'lsvchost.exe',
'mscchost.exe',
'msvchost.exe',
'ntsvchost.exe',
'rdchost.exe',
's_host.exe',
'sach0st.exe',
'sachost.exe',
'sachostc.exe',
'sachostp.exe',
'sachostp.exe',
'sachosts.exe',
'sachosts.exe',
'sachostw.exe',
'sachostw.exe',
'sachostx.exe',
'sathost.exe',
'sbhost.exe',
'scanost.exe',
'scchost.exe',
'scchost.exe',
'scchost2.exe',
'scchostc.exe',
'scchostc.exe',
'scghost.exe',
'schost.exe',
'schost.exe',
'schostc.exe',
'schosts.exe',
'schovst.exe',
'schvost.exe',
'scvchost.exe',
'scvchusts.exe',
'scvh0st.exe',
'scvh0st.exe',
'scvhost.exe',
'scvhost.exe',
'scvhosv.exe',
'scvost.exe',
'scvvhost.exe',
'sdchost.exe',
'sdhost.exe',
'serhost.exe',
'servehost.exe',
'sethost.exe',
'sevchos.exe',
'sevhost.exe',
'shchost.exe',
'shhost.exe',
'shost.exe',
'shvchost.exe',
'shvhost.exe',
'sichost.exe',
'slchost.exe',
'slihost.exe',
'snahost.exe',
'snhost.exe',
'snphost.exe',
'snvhost.exe',
'sochost.exe',
'sochvst.exe',
'soohost.exe',
'spchost.exe',
'sqlhost.exe',
'srchost.exe',
'srshost.exe',
'srvchost.exe',
'srvchost.exe',
'srvhost.exe',
'sschost.exe',
'sshost.exe',
'ssvch0st.exe',
'ssvchost.exe',
'ssvchost.exe',
'ssvichosst.exe',
'st#host.exe',
'stdhost.exe',
'suchost.exe',
'suchost.exe',
'suchostp.exe',
'suchostp.exe',
'suchosts.exe',
'suchosts.exe',
'sv_host.exe',
'sv±hest.exe',
'sv0hoat.exe',
'sv1host.exe',
'svahost.exe',
'svahost.exe',
'svcbost.exe',
'svcchost.exe',
'svcchost.exe',
'svcehost.exe',
'svcehost.exe',
'svcgest.exe',
'svcgh0st.exe',
'svcgoost.exe',
'svch0sat.exe',
'svch0sbt.exe',
'svch0set.exe',
'svch0sft.exe',
'svch0slt.exe',
'svch0smt.exe',
'svch0st.exe',
'svch0st.exe',
'svch0st_.exe',
'svch0sts.exe',
'svch7t.exe',
'svchaot.exe',
'svchast.exe',
'svchast.exe',
'svchcst.exe',
'svchcst.exe',
'svchest.exe',
'svchest.exe',
'svchhost.exe',
'svchîst.exe',
'svchkost.exe',
'svcho.exe',
'svchobst.exe',
'svchoct.exe',
'svcholts.exe',
'svchon32.exe',
'svchoost.exe',
'svchoot.exe',
'svchort.exe',
'svchos.exe',
'svchos12.exe',
'svchosd.exe',
'svchosf.exe',
'svchosf.exe',
'svchosi.exe',
'svchosl.exe',
'svchoso.exe',
'svchosr.exe',
'svchoss.exe',
'svchosst.exe',
'svchöst.exe',
'svchost_.exe',
'svchost_cz.exe',
'svchost”.exe',
'svchost0.exe',
'svchost1.exe',
'svchost10.exe',
'svchost16.exe',
'svchost2.exe',
'svchost2.exe',
'svchost3.exe',
'svchost3.exe',
'svchost31.exe',
'svchost32.exe',
'svchost32.exe',
'svchost4.exe',
'svchost5.exe',
'svchost6.exe',
'svchost64.exe',
'svchost64.exe',
'svchosta.exe',
'svchostbb.exe',
'svchostbd.exe',
'svchostbn.exe',
'svchostc.exe',
'svchostc32.exe',
'svchostcx.exe',
'svchostd.exe',
'svchostdll.exe',
'svchoste.exe',
'svchosted.exe',
'svchosti.exe',
'svchosting.exe',
'svchostit.exe',
'svchostl.exe',
'svchostms.exe',
'svchosto.exe',
'svchostr.exe',
'svchostre.exe',
'svchosts.exe',
'svchosts.exe',
'svchosts32.exe',
'svchostsr.exe',
'svchostss.exe',
'svchostt.exe',
'svchostt.exe',
'svchostþ.exe',
'svchostun.exe',
'svchostv.exe',
'svchostv.exe',
'svchostxi.exe',
'svchostxi.exe',
'svchostxxx.exe',
'svchostz.exe',
'svchosv.exe',
'svchosy.exe',
'svchot.exe',
'svchoto.exe',
'svchots.exe',
'svchots.exe',
'svchott.exe',
'svchowb.exe',
'svchowt.exe',
'svchoxt.exe',
'svchoxt.exe',
'svchpst.exe',
'svchpst.exe',
'svchqs.exe',
'svchqst.exe',
'svchs0t.exe',
'svchsot.exe',
'svchsot.exe',
'svchsst.exe',
'svchssts.exe',
'svchst.exe',
'svchste.exe',
'svchsts.exe',
'svchtst.exe',
'svchust.exe',
'svchusts.exe',
'svcinit.exe',
'svcjhost.exe',
'svclost.exe',
'svcmost.exe',
'svcnost.exe',
'svcnost.exe',
'svcohst.exe',
'svcomst.exe',
'svcoost.exe',
'svcost.exe',
'svcpos.exe',
'svcroot.exe',
'svcroot.exe',
'svcshtost.exe',
'svcsoft.exe',
'svcsost.exe',
'svcst.exe',
'svctos.exe',
'svcxhost.exe',
'svdhost.exe',
'svdhost.exe',
'svdnost.exe',
'svehost.exe',
'svehost.exe',
'svgchost.exe',
'svggost.exe',
'svghost.exe',
'svghost.exe',
'svghosts.exe',
'svh0st.exe',
'svhcost.exe',
'svhest.exe',
'svhoct.exe',
'svhosit.exe',
'svhosr.exe',
'svhosst.exe',
'svhost.exe',
'svhost.exe',
'svhost1.exe',
'svhost2.exe',
'svhostc.exe',
'svhoste.exe',
'svhostr.exe',
'svhosts.exe',
'svhostt.exe',
'svhostu.exe',
'svhot.exe',
'svhst.exe',
'svhust.exe',
'svichosst.exe',
'svichost.exe',
'svlhost.exe',
'svnchost.exe',
'svnhost.exe',
'svohcst.exe',
'svohcst.exe',
'svohost.exe',
'svohost.exe',
'svohst.exe',
'svost.exe',
'svphost.exe',
'svphost.exe',
'svphostu.exe',
'svphostu.exe',
'svrhost.exe',
'svrhost.exe',
'svschost.exe',
'svschost.exe',
'svschosta.exe',
'svsh0st.exe',
'svsh0st.exe',
'svshoct.exe',
'svshost.exe',
'svshost.exe',
'svshosti.exe',
'svshosts.exe',
'svshot.exe',
'svuhost.exe',
'svvchcst.exe',
'svvchost.exe',
'svvghost.exe',
'svvhost.exe',
'svvhost.exe',
'svvhosti.exe',
'svwhost.exe',
'svxhos.exe',
'svxhost.exe',
'swchost.exe',
'swchost.exe',
'swdhost.exe',
'swhost.exe',
'swhost.exe',
'sxhost.exe',
'sxhost.exe',
'sychost.exe',
'synchost.exe',
'synchost.exe',
'synhost.exe',
'syschost.exe',
'syschost.exe',
'syshost.exe',
'syshost.exe',
'szchostc.exe',
'szchostc.exe',
'tsvchost.exe',
'usvchost.exe',
'uvchost.exe',
'vcchost.exe',
'vchost.exe',
'vhchost.exe',
'vhost.exe',
'vschost.exe',
'vshost.exe',
'vsschost.exe',
'vxhost.exe',
'wsvchost.exe',
'wvchosd.exe',
'xvshost.exe',
'zvchost.exe',
'5hrome.exe',
'a_chrome.exe',
'cchrome.exe',
'chorom.exe',
'chr0me.exe',
'chro2me.exe',
'chrom.exe',
'-chrome.exe',
'chrome1.exe',
'chrome10.exe',
'chrome3.exe',
'chrome32.exe',
'chrome9.exe',
'chromede.exe',
'chromee.exe',
'chromeez.exe',
'chromei.exe',
'chromes.exe',
'chromix.exe',
'chromme.exe',
'chrommm.exe',
'chromre.exe',
'chromse.exe',
'chromyy.exe',
'chroom.exe',
'chroome.exe',
'chroum.exe',
'crhome.exe',
'nichrome.exe',
'_cerss.exe',
'_csrss.exe',
'carss.exe',
'ccrs.exe',
'cress.exe',
'crrss.exe',
'crss.exe',
'crsss.exe',
'csrcs.exe',
'csres.exe',
'csriss.exe',
'csrlt.exe',
'csrms.exe',
'csrmss.exe',
'csrrss.exe',
'csrs.exe',
'csrsc.exe',
'csrse.exe',
'csrsess.exe',
'csrsk.exe',
'csrsl.exe',
'csrsrv.exe',
'csrss_1.exe',
'csrss_2.exe',
'csrss_8.exe',
'csrss_9.exe',
'csrss32.exe',
'csrssa.exe',
'csrssc.exe',
'csrsses.exe',
'csrssr.exe',
'csrsss.exe',
'csrssw.exe',
'csrssys.exe',
'csrst.exe',
'csrsvc.exe',
'csrsvr.exe',
'csrsx.exe',
'csrtss.exe',
'csrus.exe',
'csrvs.exe',
'cssrs.exe',
'cssrsa.exe',
'cssrsr.exe',
'cssrss.exe',
'cvrss.exe',
'scrss.exe',
'0iexplorer.exe',
'12iexplore.exe',
'2ciexplore.exe',
'2fexplorer.exe',
'5explore.exe',
'5xplorer.exe',
'_iexplors.exe',
'dexplorer.exe',
'dxplore.exe',
'e1xplorer.exe',
'eexplorer.exe',
'eexxplorer.exe',
'eksplorer.exe',
'ep1orer.exe',
'esplorer.exe',
'exeplorer.exe',
'exlorer.exe',
'exoplorer.exe',
'exp10rer.exe',
'exp1or.exe',
'exp1ore.exe',
'exp1orer.exe',
'exp1ror.exe',
'exp20re.exe',
'expiorer.exe',
'expioror.exe',
'expl0rer.exe',
'explarar.exe',
'explarer.exe',
'expleror.exe',
'exploe.exe',
'exploer.exe',
'exploere.exe',
'exploerer.exe',
'exploiter.exe',
'exploner.exe',
'explope.exe',
'explor.exe',
'explora.exe',
'explore.exe',
'explored.exe',
'exploree.exe',
'exploreee.exe',
'exploreff.exe',
'explorei.exe',
'explorep.exe',
'explorer1.exe',
'explorer32.exe',
'explorer64.exe',
'explorer66.exe',
'explorer_.exe',
'explorere.exe',
'explorerf.exe',
'explorerr.exe',
'explorerrr.exe',
'explorers.exe',
'explorerv.exe',
'explorerxx.exe',
'explorerz.exe',
'explores.exe',
'exploret.exe',
'explorew.exe',
'exploror.exe',
'explorr.exe',
'explorre.exe',
'explorrer.exe',
'explorxp.exe',
'explre3r.exe',
'explrer.exe',
'explroer.exe',
'expoler.exe',
'expolorer.exe',
'exporer.exe',
'exprer.exe',
'exprlore.exe',
'exproler.exe',
'exqlorer.exe',
'exsplorer.exe',
'exxplorer.exe',
'ieioplore.exe',
'ieplore.exe',
'ieplorer.exe',
'iexeplore.exe',
'iexlorer.exe',
'iexlplore.exe',
'iexp1ore.exe',
'iexp1orer.exe',
'iexpiore.exe',
'iexpl0ra.exe',
'iexpl0re.exe',
'iexplare.exe',
'iexplarer.exe',
'iexplere.exe',
'iexpllzore.exe',
'iexplo.exe',
'iexploer.exe',
'iexploore.exe',
'iexplope.exe',
'iexplor.exe',
'iexplore32.exe',
'iexplorea.exe',
'iexplorei.exe',
'iexplorer.exe',
'iexplorer0.exe',
'iexplorer2.exe',
'iexplorer7.exe',
'iexplorers.exe',
'iexplores.exe',
'iexploresx.exe',
'iexploror.exe',
'iexplorrer.exe',
'iexplors.exe',
'iexplory.exe',
'iexplorz.exe',
'iexpore.exe',
'iiexplore.exe',
'iiexplorer.exe',
'inexplore.exe',
'inexplorer.exe',
'intexplore.exe',
'ixplorer.exe',
'lexpiore.exe',
'lexpl1re.exe',
'lexpl2re.exe',
'lexpl3re.exe',
'lexpl4re.exe',
'lexpl5re.exe',
'lexpl6re.exe',
'lexpl7re.exe',
'lexpl8re.exe',
'lexpl9re.exe',
'lexplare.exe',
'lexplbre.exe',
'lexplcre.exe',
'lexpldre.exe',
'lexplere.exe',
'lexplfre.exe',
'lexplgre.exe',
'lexplhre.exe',
'lexplire.exe',
'lexpljre.exe',
'lexplkre.exe',
'lexpllre.exe',
'lexplmre.exe',
'lexplnre.exe',
'lexplore.exe',
'lexplore_.exe',
'lexplorer.exe',
'lexplors.exe',
'lexplpre.exe',
'lexplqre.exe',
'lexplrre.exe',
'lexplsre.exe',
'lexpltre.exe',
'lexplure.exe',
'lexplvre.exe',
'lexplwre.exe',
'lexplxre.exe',
'lexplyre.exe',
'lexplzre.exe',
'msexplorer.exe',
'netplore.exe',
'plorer.exe',
'vbexplorer.exe',
'wexplorer.exe',
'winexplore.exe',
'xeplorer.exe',
'xplore.exe',
'xplorer.exe',
'yyexplorer.exe',
'5cfirefox.exe',
'5irefox.exe',
'f1ref0x.exe',
'fire10fox.exe',
'firef0x.exe',
'firefly.exe',
'firefo.exe',
'firefox_.exe',
'firefox2.exe',
'firefox32.exe',
'firefoxe.exe',
'firefoxx.exe',
'firfox.exe',
'irefox.exe',
'refox.exe',
'wireox.exe',
'java.exe.exe',
'jav3.exe',
'java32.exe',
'javaa.exe',
'javaaa.exe',
'javaap.exe',
'javac.exe',
'javacp.exe',
'javag.exe',
'javaii.exe',
'javapw.exe',
'javar.exe',
'javare.exe',
'javas.exe',
'javas5.exe',
'javasc.exe',
'javase.exe',
'javaup.exe',
'javavm.exe',
'javawz.exe',
'javax.exe',
'javo.exe',
'javz.exe',
'1sass.exe',
'iass.exe',
'isaas.exe',
'isas.exe',
'isass.exe',
'issass.exe',
'laass.exe',
'lamss.exe',
'larss.exe',
'lass.exe',
'lassa.exe',
'lasse.exe',
'lasss.exe',
'lcass.exe',
'leass.exe',
'lhssass.exe',
'lrass.exe',
'lrsss.exe',
'lsa32.exe',
'lsac.exe',
'lsacs.exe',
'lsaess.exe',
'lsaoss.exe',
'lsas.exe',
'lsasa.exe',
'lsasas.exe',
'lsascs.exe',
'lsase.exe',
'lsasi.exe',
'lsasm.exe',
'lsaso.exe',
'lsasrv.exe',
'lsass3.exe',
'lsass32.exe',
'lsass47.exe',
'lsassi.exe',
'lsassn.exe',
'lsasss.exe',
'lsassv.exe',
'lsassx.exe',
'lsassys.exe',
'lsats.exe',
'lsmass.exe',
'lsrss.exe',
'lssas.exe',
'lssass.exe',
'msass.exe',
'nsrss.exe',
'salss.exe',
'mswin.exe',
'win_.exe',
'win_5.exe',
'win00.exe',
'win01.exe',
'win07.exe',
'win08.exe',
'win09.exe',
'win1.exe',
'win10.exe',
'win11.exe',
'win16.exe',
'win2.exe',
'win22.exe',
'win23.exe',
'win3.exe',
'win30.exe',
'win32.exe',
'win39.exe',
'win4.exe',
'win42.exe',
'win44.exe',
'win45.exe',
'win5.exe',
'win54.exe',
'win55.exe',
'win62.exe',
'win64.exe',
'win7.exe',
'win76.exe',
'win77.exe',
'win8.exe',
'win91.exe',
'win96.exe',
'win98.exe',
'win9x.exe',
'wina.exe',
'winad.exe',
'winar.exe',
'winav.exe',
'winb.exe',
'winc.exe',
'wince.exe',
'wind.exe',
'wind3.exe',
'windf.exe',
'windm.exe',
'winds.exe',
'wine.exe',
'winet.exe',
'winex.exe',
'winfc.exe',
'wingb.exe',
'wings.exe',
'wingt.exe',
'winhd.exe',
'winhv.exe',
'wini.exe',
'winit.exe',
'wink.exe',
'winkl.exe',
'winl.exe',
'winlc.exe',
'winma.exe',
'winmm.exe',
'winmn.exe',
'winmx.exe',
'winn.exe',
'winn1.exe',
'winns.exe',
'winnt.exe',
'winny.exe',
'winog.exe',
'winok.exe',
'winos.exe',
'winow.exe',
'winp9.exe',
'winpc.exe',
'winr.exe',
'winra.exe',
'winrm.exe',
'winrr.exe',
'wins.exe',
'wins7.exe',
'winsh.exe',
'winsp.exe',
'winss.exe',
'winst.exe',
'wint.exe',
'winu.exe',
'winud.exe',
'winup.exe',
'winvc.exe',
'winvr.exe',
'winw.exe',
'winwl.exe',
'winwn.exe',
'winws.exe',
'winx.exe',
'winxp.exe',
'winxv.exe',
'winz.exe',
'_winlogon.exe',
'inlogon.exe',
'nlogon.exe',
'wgalogon.exe',
'wimlogom.exe',
'win_logn.exe',
'win1ogo.exe',
'win1ogon.exe',
'win1ogons.exe',
'windlogon.exe',
'winiogon.exe',
'winl0g0n.exe',
'winl0gin.exe',
'winl0gon.exe',
'winlgon.exe',
'winligon.exe',
'winlngon.exe',
'winlog.exe',
'winlog056.exe',
'winlog0n.exe',
'winlog1.exe',
'winlogan.exe',
'winloge.exe',
'winlogen.exe',
'winloger.exe',
'winlogin.exe',
'winlogins.exe',
'winlogn.exe',
'winlogo.exe',
'winlogom.exe',
'winlogoms.exe',
'winlogon1.exe',
'winlogon3.exe',
'winlogon32.exe',
'winlogon6.exe',
'winlogon86.exe',
'winlogone.exe',
'winlogonl.exe',
'winlogonn.exe',
'winlogonpc.exe',
'winlogonr.exe',
'winlogons.exe',
'winlogor.exe',
'winlogr.exe',
'winlogs.exe',
'winlogun.exe',
'winlongon.exe',
'winlugan.exe',
'winslogin.exe',
'wnilogon.exe',
'wnlgon.exe',
'wnlogin.exe'
]);
DeviceProcessEvents
| where TimeGenerated > ago(1h)
//search for newly created processes that are contained in the dynamic list
| where InitiatingProcessParentFileName has_any (service_name_evade) or InitiatingProcessFileName has_any (service_name_evade) or ProcessFileName has_any (service_name_evade)

Sentinel

// create a dynamic list of commonly used malicious service names used to evade detection..
let service_name_evade = dynamic(['_sachost.exe',
'_svch0st.exe',
'_svchost.exe',
'00svchost.exe',
'0svchost.exe',
'achost.exe',
'chost.exe',
'cvhost.exe',
'cvshost.exe',
'isvchosty.exe',
'lsvchost.exe',
'mscchost.exe',
'msvchost.exe',
'ntsvchost.exe',
'rdchost.exe',
's_host.exe',
'sach0st.exe',
'sachost.exe',
'sachostc.exe',
'sachostp.exe',
'sachostp.exe',
'sachosts.exe',
'sachosts.exe',
'sachostw.exe',
'sachostw.exe',
'sachostx.exe',
'sathost.exe',
'sbhost.exe',
'scanost.exe',
'scchost.exe',
'scchost.exe',
'scchost2.exe',
'scchostc.exe',
'scchostc.exe',
'scghost.exe',
'schost.exe',
'schost.exe',
'schostc.exe',
'schosts.exe',
'schovst.exe',
'schvost.exe',
'scvchost.exe',
'scvchusts.exe',
'scvh0st.exe',
'scvh0st.exe',
'scvhost.exe',
'scvhost.exe',
'scvhosv.exe',
'scvost.exe',
'scvvhost.exe',
'sdchost.exe',
'sdhost.exe',
'serhost.exe',
'servehost.exe',
'sethost.exe',
'sevchos.exe',
'sevhost.exe',
'shchost.exe',
'shhost.exe',
'shost.exe',
'shvchost.exe',
'shvhost.exe',
'sichost.exe',
'slchost.exe',
'slihost.exe',
'snahost.exe',
'snhost.exe',
'snphost.exe',
'snvhost.exe',
'sochost.exe',
'sochvst.exe',
'soohost.exe',
'spchost.exe',
'sqlhost.exe',
'srchost.exe',
'srshost.exe',
'srvchost.exe',
'srvchost.exe',
'srvhost.exe',
'sschost.exe',
'sshost.exe',
'ssvch0st.exe',
'ssvchost.exe',
'ssvchost.exe',
'ssvichosst.exe',
'st#host.exe',
'stdhost.exe',
'suchost.exe',
'suchost.exe',
'suchostp.exe',
'suchostp.exe',
'suchosts.exe',
'suchosts.exe',
'sv_host.exe',
'sv±hest.exe',
'sv0hoat.exe',
'sv1host.exe',
'svahost.exe',
'svahost.exe',
'svcbost.exe',
'svcchost.exe',
'svcchost.exe',
'svcehost.exe',
'svcehost.exe',
'svcgest.exe',
'svcgh0st.exe',
'svcgoost.exe',
'svch0sat.exe',
'svch0sbt.exe',
'svch0set.exe',
'svch0sft.exe',
'svch0slt.exe',
'svch0smt.exe',
'svch0st.exe',
'svch0st.exe',
'svch0st_.exe',
'svch0sts.exe',
'svch7t.exe',
'svchaot.exe',
'svchast.exe',
'svchast.exe',
'svchcst.exe',
'svchcst.exe',
'svchest.exe',
'svchest.exe',
'svchhost.exe',
'svchîst.exe',
'svchkost.exe',
'svcho.exe',
'svchobst.exe',
'svchoct.exe',
'svcholts.exe',
'svchon32.exe',
'svchoost.exe',
'svchoot.exe',
'svchort.exe',
'svchos.exe',
'svchos12.exe',
'svchosd.exe',
'svchosf.exe',
'svchosf.exe',
'svchosi.exe',
'svchosl.exe',
'svchoso.exe',
'svchosr.exe',
'svchoss.exe',
'svchosst.exe',
'svchöst.exe',
'svchost_.exe',
'svchost_cz.exe',
'svchost”.exe',
'svchost0.exe',
'svchost1.exe',
'svchost10.exe',
'svchost16.exe',
'svchost2.exe',
'svchost2.exe',
'svchost3.exe',
'svchost3.exe',
'svchost31.exe',
'svchost32.exe',
'svchost32.exe',
'svchost4.exe',
'svchost5.exe',
'svchost6.exe',
'svchost64.exe',
'svchost64.exe',
'svchosta.exe',
'svchostbb.exe',
'svchostbd.exe',
'svchostbn.exe',
'svchostc.exe',
'svchostc32.exe',
'svchostcx.exe',
'svchostd.exe',
'svchostdll.exe',
'svchoste.exe',
'svchosted.exe',
'svchosti.exe',
'svchosting.exe',
'svchostit.exe',
'svchostl.exe',
'svchostms.exe',
'svchosto.exe',
'svchostr.exe',
'svchostre.exe',
'svchosts.exe',
'svchosts.exe',
'svchosts32.exe',
'svchostsr.exe',
'svchostss.exe',
'svchostt.exe',
'svchostt.exe',
'svchostþ.exe',
'svchostun.exe',
'svchostv.exe',
'svchostv.exe',
'svchostxi.exe',
'svchostxi.exe',
'svchostxxx.exe',
'svchostz.exe',
'svchosv.exe',
'svchosy.exe',
'svchot.exe',
'svchoto.exe',
'svchots.exe',
'svchots.exe',
'svchott.exe',
'svchowb.exe',
'svchowt.exe',
'svchoxt.exe',
'svchoxt.exe',
'svchpst.exe',
'svchpst.exe',
'svchqs.exe',
'svchqst.exe',
'svchs0t.exe',
'svchsot.exe',
'svchsot.exe',
'svchsst.exe',
'svchssts.exe',
'svchst.exe',
'svchste.exe',
'svchsts.exe',
'svchtst.exe',
'svchust.exe',
'svchusts.exe',
'svcinit.exe',
'svcjhost.exe',
'svclost.exe',
'svcmost.exe',
'svcnost.exe',
'svcnost.exe',
'svcohst.exe',
'svcomst.exe',
'svcoost.exe',
'svcost.exe',
'svcpos.exe',
'svcroot.exe',
'svcroot.exe',
'svcshtost.exe',
'svcsoft.exe',
'svcsost.exe',
'svcst.exe',
'svctos.exe',
'svcxhost.exe',
'svdhost.exe',
'svdhost.exe',
'svdnost.exe',
'svehost.exe',
'svehost.exe',
'svgchost.exe',
'svggost.exe',
'svghost.exe',
'svghost.exe',
'svghosts.exe',
'svh0st.exe',
'svhcost.exe',
'svhest.exe',
'svhoct.exe',
'svhosit.exe',
'svhosr.exe',
'svhosst.exe',
'svhost.exe',
'svhost.exe',
'svhost1.exe',
'svhost2.exe',
'svhostc.exe',
'svhoste.exe',
'svhostr.exe',
'svhosts.exe',
'svhostt.exe',
'svhostu.exe',
'svhot.exe',
'svhst.exe',
'svhust.exe',
'svichosst.exe',
'svichost.exe',
'svlhost.exe',
'svnchost.exe',
'svnhost.exe',
'svohcst.exe',
'svohcst.exe',
'svohost.exe',
'svohost.exe',
'svohst.exe',
'svost.exe',
'svphost.exe',
'svphost.exe',
'svphostu.exe',
'svphostu.exe',
'svrhost.exe',
'svrhost.exe',
'svschost.exe',
'svschost.exe',
'svschosta.exe',
'svsh0st.exe',
'svsh0st.exe',
'svshoct.exe',
'svshost.exe',
'svshost.exe',
'svshosti.exe',
'svshosts.exe',
'svshot.exe',
'svuhost.exe',
'svvchcst.exe',
'svvchost.exe',
'svvghost.exe',
'svvhost.exe',
'svvhost.exe',
'svvhosti.exe',
'svwhost.exe',
'svxhos.exe',
'svxhost.exe',
'swchost.exe',
'swchost.exe',
'swdhost.exe',
'swhost.exe',
'swhost.exe',
'sxhost.exe',
'sxhost.exe',
'sychost.exe',
'synchost.exe',
'synchost.exe',
'synhost.exe',
'syschost.exe',
'syschost.exe',
'syshost.exe',
'syshost.exe',
'szchostc.exe',
'szchostc.exe',
'tsvchost.exe',
'usvchost.exe',
'uvchost.exe',
'vcchost.exe',
'vchost.exe',
'vhchost.exe',
'vhost.exe',
'vschost.exe',
'vshost.exe',
'vsschost.exe',
'vxhost.exe',
'wsvchost.exe',
'wvchosd.exe',
'xvshost.exe',
'zvchost.exe',
'5hrome.exe',
'a_chrome.exe',
'cchrome.exe',
'chorom.exe',
'chr0me.exe',
'chro2me.exe',
'chrom.exe',
'-chrome.exe',
'chrome1.exe',
'chrome10.exe',
'chrome3.exe',
'chrome32.exe',
'chrome9.exe',
'chromede.exe',
'chromee.exe',
'chromeez.exe',
'chromei.exe',
'chromes.exe',
'chromix.exe',
'chromme.exe',
'chrommm.exe',
'chromre.exe',
'chromse.exe',
'chromyy.exe',
'chroom.exe',
'chroome.exe',
'chroum.exe',
'crhome.exe',
'nichrome.exe',
'_cerss.exe',
'_csrss.exe',
'carss.exe',
'ccrs.exe',
'cress.exe',
'crrss.exe',
'crss.exe',
'crsss.exe',
'csrcs.exe',
'csres.exe',
'csriss.exe',
'csrlt.exe',
'csrms.exe',
'csrmss.exe',
'csrrss.exe',
'csrs.exe',
'csrsc.exe',
'csrse.exe',
'csrsess.exe',
'csrsk.exe',
'csrsl.exe',
'csrsrv.exe',
'csrss_1.exe',
'csrss_2.exe',
'csrss_8.exe',
'csrss_9.exe',
'csrss32.exe',
'csrssa.exe',
'csrssc.exe',
'csrsses.exe',
'csrssr.exe',
'csrsss.exe',
'csrssw.exe',
'csrssys.exe',
'csrst.exe',
'csrsvc.exe',
'csrsvr.exe',
'csrsx.exe',
'csrtss.exe',
'csrus.exe',
'csrvs.exe',
'cssrs.exe',
'cssrsa.exe',
'cssrsr.exe',
'cssrss.exe',
'cvrss.exe',
'scrss.exe',
'0iexplorer.exe',
'12iexplore.exe',
'2ciexplore.exe',
'2fexplorer.exe',
'5explore.exe',
'5xplorer.exe',
'_iexplors.exe',
'dexplorer.exe',
'dxplore.exe',
'e1xplorer.exe',
'eexplorer.exe',
'eexxplorer.exe',
'eksplorer.exe',
'ep1orer.exe',
'esplorer.exe',
'exeplorer.exe',
'exlorer.exe',
'exoplorer.exe',
'exp10rer.exe',
'exp1or.exe',
'exp1ore.exe',
'exp1orer.exe',
'exp1ror.exe',
'exp20re.exe',
'expiorer.exe',
'expioror.exe',
'expl0rer.exe',
'explarar.exe',
'explarer.exe',
'expleror.exe',
'exploe.exe',
'exploer.exe',
'exploere.exe',
'exploerer.exe',
'exploiter.exe',
'exploner.exe',
'explope.exe',
'explor.exe',
'explora.exe',
'explore.exe',
'explored.exe',
'exploree.exe',
'exploreee.exe',
'exploreff.exe',
'explorei.exe',
'explorep.exe',
'explorer1.exe',
'explorer32.exe',
'explorer64.exe',
'explorer66.exe',
'explorer_.exe',
'explorere.exe',
'explorerf.exe',
'explorerr.exe',
'explorerrr.exe',
'explorers.exe',
'explorerv.exe',
'explorerxx.exe',
'explorerz.exe',
'explores.exe',
'exploret.exe',
'explorew.exe',
'exploror.exe',
'explorr.exe',
'explorre.exe',
'explorrer.exe',
'explorxp.exe',
'explre3r.exe',
'explrer.exe',
'explroer.exe',
'expoler.exe',
'expolorer.exe',
'exporer.exe',
'exprer.exe',
'exprlore.exe',
'exproler.exe',
'exqlorer.exe',
'exsplorer.exe',
'exxplorer.exe',
'ieioplore.exe',
'ieplore.exe',
'ieplorer.exe',
'iexeplore.exe',
'iexlorer.exe',
'iexlplore.exe',
'iexp1ore.exe',
'iexp1orer.exe',
'iexpiore.exe',
'iexpl0ra.exe',
'iexpl0re.exe',
'iexplare.exe',
'iexplarer.exe',
'iexplere.exe',
'iexpllzore.exe',
'iexplo.exe',
'iexploer.exe',
'iexploore.exe',
'iexplope.exe',
'iexplor.exe',
'iexplore32.exe',
'iexplorea.exe',
'iexplorei.exe',
'iexplorer.exe',
'iexplorer0.exe',
'iexplorer2.exe',
'iexplorer7.exe',
'iexplorers.exe',
'iexplores.exe',
'iexploresx.exe',
'iexploror.exe',
'iexplorrer.exe',
'iexplors.exe',
'iexplory.exe',
'iexplorz.exe',
'iexpore.exe',
'iiexplore.exe',
'iiexplorer.exe',
'inexplore.exe',
'inexplorer.exe',
'intexplore.exe',
'ixplorer.exe',
'lexpiore.exe',
'lexpl1re.exe',
'lexpl2re.exe',
'lexpl3re.exe',
'lexpl4re.exe',
'lexpl5re.exe',
'lexpl6re.exe',
'lexpl7re.exe',
'lexpl8re.exe',
'lexpl9re.exe',
'lexplare.exe',
'lexplbre.exe',
'lexplcre.exe',
'lexpldre.exe',
'lexplere.exe',
'lexplfre.exe',
'lexplgre.exe',
'lexplhre.exe',
'lexplire.exe',
'lexpljre.exe',
'lexplkre.exe',
'lexpllre.exe',
'lexplmre.exe',
'lexplnre.exe',
'lexplore.exe',
'lexplore_.exe',
'lexplorer.exe',
'lexplors.exe',
'lexplpre.exe',
'lexplqre.exe',
'lexplrre.exe',
'lexplsre.exe',
'lexpltre.exe',
'lexplure.exe',
'lexplvre.exe',
'lexplwre.exe',
'lexplxre.exe',
'lexplyre.exe',
'lexplzre.exe',
'msexplorer.exe',
'netplore.exe',
'plorer.exe',
'vbexplorer.exe',
'wexplorer.exe',
'winexplore.exe',
'xeplorer.exe',
'xplore.exe',
'xplorer.exe',
'yyexplorer.exe',
'5cfirefox.exe',
'5irefox.exe',
'f1ref0x.exe',
'fire10fox.exe',
'firef0x.exe',
'firefly.exe',
'firefo.exe',
'firefox_.exe',
'firefox2.exe',
'firefox32.exe',
'firefoxe.exe',
'firefoxx.exe',
'firfox.exe',
'irefox.exe',
'refox.exe',
'wireox.exe',
'java.exe.exe',
'jav3.exe',
'java32.exe',
'javaa.exe',
'javaaa.exe',
'javaap.exe',
'javac.exe',
'javacp.exe',
'javag.exe',
'javaii.exe',
'javapw.exe',
'javar.exe',
'javare.exe',
'javas.exe',
'javas5.exe',
'javasc.exe',
'javase.exe',
'javaup.exe',
'javavm.exe',
'javawz.exe',
'javax.exe',
'javo.exe',
'javz.exe',
'1sass.exe',
'iass.exe',
'isaas.exe',
'isas.exe',
'isass.exe',
'issass.exe',
'laass.exe',
'lamss.exe',
'larss.exe',
'lass.exe',
'lassa.exe',
'lasse.exe',
'lasss.exe',
'lcass.exe',
'leass.exe',
'lhssass.exe',
'lrass.exe',
'lrsss.exe',
'lsa32.exe',
'lsac.exe',
'lsacs.exe',
'lsaess.exe',
'lsaoss.exe',
'lsas.exe',
'lsasa.exe',
'lsasas.exe',
'lsascs.exe',
'lsase.exe',
'lsasi.exe',
'lsasm.exe',
'lsaso.exe',
'lsasrv.exe',
'lsass3.exe',
'lsass32.exe',
'lsass47.exe',
'lsassi.exe',
'lsassn.exe',
'lsasss.exe',
'lsassv.exe',
'lsassx.exe',
'lsassys.exe',
'lsats.exe',
'lsmass.exe',
'lsrss.exe',
'lssas.exe',
'lssass.exe',
'msass.exe',
'nsrss.exe',
'salss.exe',
'mswin.exe',
'win_.exe',
'win_5.exe',
'win00.exe',
'win01.exe',
'win07.exe',
'win08.exe',
'win09.exe',
'win1.exe',
'win10.exe',
'win11.exe',
'win16.exe',
'win2.exe',
'win22.exe',
'win23.exe',
'win3.exe',
'win30.exe',
'win32.exe',
'win39.exe',
'win4.exe',
'win42.exe',
'win44.exe',
'win45.exe',
'win5.exe',
'win54.exe',
'win55.exe',
'win62.exe',
'win64.exe',
'win7.exe',
'win76.exe',
'win77.exe',
'win8.exe',
'win91.exe',
'win96.exe',
'win98.exe',
'win9x.exe',
'wina.exe',
'winad.exe',
'winar.exe',
'winav.exe',
'winb.exe',
'winc.exe',
'wince.exe',
'wind.exe',
'wind3.exe',
'windf.exe',
'windm.exe',
'winds.exe',
'wine.exe',
'winet.exe',
'winex.exe',
'winfc.exe',
'wingb.exe',
'wings.exe',
'wingt.exe',
'winhd.exe',
'winhv.exe',
'wini.exe',
'winit.exe',
'wink.exe',
'winkl.exe',
'winl.exe',
'winlc.exe',
'winma.exe',
'winmm.exe',
'winmn.exe',
'winmx.exe',
'winn.exe',
'winn1.exe',
'winns.exe',
'winnt.exe',
'winny.exe',
'winog.exe',
'winok.exe',
'winos.exe',
'winow.exe',
'winp9.exe',
'winpc.exe',
'winr.exe',
'winra.exe',
'winrm.exe',
'winrr.exe',
'wins.exe',
'wins7.exe',
'winsh.exe',
'winsp.exe',
'winss.exe',
'winst.exe',
'wint.exe',
'winu.exe',
'winud.exe',
'winup.exe',
'winvc.exe',
'winvr.exe',
'winw.exe',
'winwl.exe',
'winwn.exe',
'winws.exe',
'winx.exe',
'winxp.exe',
'winxv.exe',
'winz.exe',
'_winlogon.exe',
'inlogon.exe',
'nlogon.exe',
'wgalogon.exe',
'wimlogom.exe',
'win_logn.exe',
'win1ogo.exe',
'win1ogon.exe',
'win1ogons.exe',
'windlogon.exe',
'winiogon.exe',
'winl0g0n.exe',
'winl0gin.exe',
'winl0gon.exe',
'winlgon.exe',
'winligon.exe',
'winlngon.exe',
'winlog.exe',
'winlog056.exe',
'winlog0n.exe',
'winlog1.exe',
'winlogan.exe',
'winloge.exe',
'winlogen.exe',
'winloger.exe',
'winlogin.exe',
'winlogins.exe',
'winlogn.exe',
'winlogo.exe',
'winlogom.exe',
'winlogoms.exe',
'winlogon1.exe',
'winlogon3.exe',
'winlogon32.exe',
'winlogon6.exe',
'winlogon86.exe',
'winlogone.exe',
'winlogonl.exe',
'winlogonn.exe',
'winlogonpc.exe',
'winlogonr.exe',
'winlogons.exe',
'winlogor.exe',
'winlogr.exe',
'winlogs.exe',
'winlogun.exe',
'winlongon.exe',
'winlugan.exe',
'winslogin.exe',
'wnilogon.exe',
'wnlgon.exe',
'wnlogin.exe'
]);
SecurityEvent
| where TimeGenerated > ago(1h)
// filter for 4688 "A new process has been created - https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4688#:~:text=Event%204688%20documents%20each%20program,open%20until%20the%20program%20exits."
| where EventID == 4688
//search for newly created processes that are contained in the dynamic list
| where Process has_any (service_name_evade)