通过终端潜在的反弹 Shell 活动
编辑通过终端潜在的反弹 Shell 活动
编辑识别执行带有可疑参数的 shell 进程,这可能表明存在反弹 shell 活动。
规则类型: eql
规则索引:
- auditbeat-*
- logs-endpoint.events.*
严重性: 高
风险评分: 73
每: 5 分钟运行一次
搜索索引自: now-9m (日期数学格式,另见 额外回溯时间
)
每次执行的最大告警数: 100
参考资料:
- https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Reverse%20Shell%20Cheatsheet.md
- https://github.com/WangYihang/Reverse-Shell-Manager
- https://www.netsparker.com/blog/web-security/understanding-reverse-shells/
- https://elastic.ac.cn/security-labs/detecting-log4j2-with-elastic-security
标签:
- 领域:端点
- 操作系统:Linux
- 操作系统:macOS
- 用例:威胁检测
- 策略:执行
- 资源:调查指南
- 数据源:Elastic Defend
版本: 109
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查通过终端潜在的反弹 Shell 活动
反弹 shell 是一种被滥用来连接回攻击者控制的系统的机制。它有效地重定向系统的输入和输出,并为攻击者提供一个功能齐全的远程 shell。即使是私有系统也容易受到攻击,因为连接是外发的。此活动通常是漏洞利用、恶意软件感染或渗透测试的结果。
此规则使用 shell 应用程序识别可能与反弹 shell 活动相关的命令。
可能的调查步骤
- 检查命令行并提取目标域或 IP 地址信息。
- 检查域是否为新注册或意外注册。
- 检查域或 IP 地址的信誉。
- 通过映射也与该域或 IP 地址通信的主机来确定环境中其他可能受损的主机。
- 调查过去 48 小时内与用户/主机相关的其他警报。
- 调查任何异常帐户行为,例如命令执行、文件创建或修改以及网络连接。
- 调查目标进程的任何异常行为,例如网络连接、文件修改以及任何生成的子进程。
误报分析
- 此活动不太可能合法发生。安全团队必须监控任何触发警报且本身并非恶意的活动。
响应和补救
- 根据分类的结果启动事件响应流程。
- 隔离相关主机以防止进一步的入侵后行为。
- 调查受损系统或攻击者使用的系统上的凭据泄露,以确保识别所有受损帐户。重置这些帐户以及其他可能受损的凭据(例如电子邮件、业务系统和 Web 服务)的密码。
- 采取措施终止攻击者使用的进程和连接。
- 运行完整的反恶意软件扫描。这可能会发现系统中留下的其他工件、持久性机制和恶意软件组件。
- 确定攻击者滥用的初始媒介,并采取措施防止通过相同的媒介再次感染。
- 使用事件响应数据,更新日志记录和审计策略以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑设置
如果在版本 <8.2 的非 elastic-agent 索引(例如 beats)上启用 EQL 规则,则事件将不会定义 event.ingested
,并且直到版本 8.2 才添加 EQL 规则的默认回退。因此,为了使此规则有效工作,用户需要添加自定义摄取管道以将 event.ingested
填充为 @timestamp。有关添加自定义摄取管道的更多详细信息,请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html
规则查询
编辑process where event.type in ("start", "process_started") and process.name in ("sh", "bash", "zsh", "dash", "zmodload") and process.args : ("*/dev/tcp/*", "*/dev/udp/*", "*zsh/net/tcp*", "*zsh/net/udp*") and /* noisy FPs */ not (process.parent.name : "timeout" and process.executable : "/var/lib/docker/overlay*") and not process.command_line : ( "*/dev/tcp/sirh_db/*", "*/dev/tcp/remoteiot.com/*", "*dev/tcp/elk.stag.one/*", "*dev/tcp/kafka/*", "*/dev/tcp/$0/$1*", "*/dev/tcp/127.*", "*/dev/udp/127.*", "*/dev/tcp/localhost/*", "*/dev/tcp/itom-vault/*") and not process.parent.command_line : "runc init"
框架: MITRE ATT&CKTM
-
策略
- 名称:执行
- ID:TA0002
- 参考网址:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:命令和脚本解释器
- ID:T1059
- 参考网址:https://attack.mitre.org/techniques/T1059/