Cobalt Strike 命令与控制信标
编辑Cobalt Strike 命令与控制信标
编辑Cobalt Strike 是一种威胁模拟平台,攻击者通常对其进行修改并用于执行网络攻击和利用活动。此规则检测 Cobalt Strike 植入信标用于命令与控制的网络活动算法。
规则类型: 查询
规则索引:
- packetbeat-*
- auditbeat-*
- filebeat-*
- logs-network_traffic.*
严重性: 高
风险评分: 73
每隔: 5 分钟运行
搜索索引自: now-9m (日期数学格式,另请参见 附加回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 用例:威胁检测
- 战术:命令与控制
- 领域:端点
版本: 105
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑((event.category: (network OR network_traffic) AND type: (tls OR http))
OR event.dataset: (network_traffic.tls OR network_traffic.http)
) AND destination.domain:/[a-z]{3}.stage.[0-9]{8}\..*/
框架: MITRE ATT&CKTM
-
战术
- 名称:命令与控制
- ID:TA0011
- 参考网址:https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称:应用层协议
- ID:T1071
- 参考网址:https://attack.mitre.org/techniques/T1071/
-
技术
- 名称:动态解析
- ID:T1568
- 参考网址:https://attack.mitre.org/techniques/T1568/
-
子技术
- 名称:域名生成算法
- ID:T1568.002
- 参考网址:https://attack.mitre.org/techniques/T1568/002/