默认Cobalt Strike Team Server证书
编辑默认Cobalt Strike Team Server证书
编辑此规则检测使用默认Cobalt Strike Team Server TLS证书的情况。Cobalt Strike是一款用于对抗模拟和红队行动的软件,这些安全评估会复制高级对手在网络中的战术和技术。可以修改Packetbeat配置以包含MD5和SHA256哈希算法(默认为SHA1)。有关模块配置的更多信息,请参见“参考”部分。
规则类型:查询
规则索引:
- packetbeat-*
- auditbeat-*
- filebeat-*
- logs-network_traffic.*
严重性:严重
风险评分: 99
运行频率:5分钟
搜索索引起始时间:now-9m(日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
- https://attack.mitre.org/software/S0154/
- https://www.cobaltstrike.com/help-setup-collaboration
- https://elastic.ac.cn/guide/en/beats/packetbeat/current/configuration-tls.html
- https://elastic.ac.cn/guide/en/beats/filebeat/7.9/filebeat-module-suricata.html
- https://elastic.ac.cn/guide/en/beats/filebeat/7.9/filebeat-module-zeek.html
- https://elastic.ac.cn/security-labs/collecting-cobalt-strike-beacons-with-the-elastic-stack
标签:
- 策略:命令与控制
- 威胁:Cobalt Strike
- 用例:威胁检测
- 领域:端点
版本: 104
规则作者:
- Elastic
规则许可证:Elastic License v2
调查指南
编辑威胁情报
虽然Cobalt Strike旨在用于渗透测试和IR培训,但它经常被实际的威胁参与者(TA)使用,例如APT19、APT29、APT32、APT41、FIN6、DarkHydrus、CopyKittens、Cobalt Group、Leviathan以及许多其他未命名的犯罪TA。此规则使用高置信度原子指标,因此应迅速调查警报。
规则查询
编辑(event.dataset: network_traffic.tls or event.category: (network or network_traffic)) and (tls.server.hash.md5:950098276A495286EB2A2556FBAB6D83 or tls.server.hash.sha1:6ECE5ECE4192683D2D84E25B0BA7E04F9CB7EB7C or tls.server.hash.sha256:87F2085C32B6A2CC709B365F55873E207A9CAA10BFFECF2FD16D3CF9D94D390C)
框架:MITRE ATT&CKTM
-
策略
- 名称:命令与控制
- ID:TA0011
- 参考URL:https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称:应用层协议
- ID:T1071
- 参考URL:https://attack.mitre.org/techniques/T1071/
-
子技术
- 名称:Web协议
- ID:T1071.001
- 参考URL:https://attack.mitre.org/techniques/T1071/001/