通过终端潜在的反弹 Shell 活动

编辑

识别执行带有可疑参数的 shell 进程,这可能表明存在反弹 shell 活动。

规则类型: eql

规则索引:

  • auditbeat-*
  • logs-endpoint.events.*

严重性: 高

风险评分: 73

: 5 分钟运行一次

搜索索引自: now-9m (日期数学格式,另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

  • 领域:端点
  • 操作系统:Linux
  • 操作系统:macOS
  • 用例:威胁检测
  • 策略:执行
  • 资源:调查指南
  • 数据源:Elastic Defend

版本: 109

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查通过终端潜在的反弹 Shell 活动

反弹 shell 是一种被滥用来连接回攻击者控制的系统的机制。它有效地重定向系统的输入和输出,并为攻击者提供一个功能齐全的远程 shell。即使是私有系统也容易受到攻击,因为连接是外发的。此活动通常是漏洞利用、恶意软件感染或渗透测试的结果。

此规则使用 shell 应用程序识别可能与反弹 shell 活动相关的命令。

可能的调查步骤

  • 检查命令行并提取目标域或 IP 地址信息。
  • 检查域是否为新注册或意外注册。
  • 检查域或 IP 地址的信誉。
  • 通过映射也与该域或 IP 地址通信的主机来确定环境中其他可能受损的主机。
  • 调查过去 48 小时内与用户/主机相关的其他警报。
  • 调查任何异常帐户行为,例如命令执行、文件创建或修改以及网络连接。
  • 调查目标进程的任何异常行为,例如网络连接、文件修改以及任何生成的子进程。

误报分析

  • 此活动不太可能合法发生。安全团队必须监控任何触发警报且本身并非恶意的活动。

响应和补救

  • 根据分类的结果启动事件响应流程。
  • 隔离相关主机以防止进一步的入侵后行为。
  • 调查受损系统或攻击者使用的系统上的凭据泄露,以确保识别所有受损帐户。重置这些帐户以及其他可能受损的凭据(例如电子邮件、业务系统和 Web 服务)的密码。
  • 采取措施终止攻击者使用的进程和连接。
  • 运行完整的反恶意软件扫描。这可能会发现系统中留下的其他工件、持久性机制和恶意软件组件。
  • 确定攻击者滥用的初始媒介,并采取措施防止通过相同的媒介再次感染。
  • 使用事件响应数据,更新日志记录和审计策略以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

如果在版本 <8.2 的非 elastic-agent 索引(例如 beats)上启用 EQL 规则,则事件将不会定义 event.ingested,并且直到版本 8.2 才添加 EQL 规则的默认回退。因此,为了使此规则有效工作,用户需要添加自定义摄取管道以将 event.ingested填充为 @timestamp。有关添加自定义摄取管道的更多详细信息,请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询

编辑
process where event.type in ("start", "process_started") and
  process.name in ("sh", "bash", "zsh", "dash", "zmodload") and
  process.args : ("*/dev/tcp/*", "*/dev/udp/*", "*zsh/net/tcp*", "*zsh/net/udp*") and

  /* noisy FPs */
  not (process.parent.name : "timeout" and process.executable : "/var/lib/docker/overlay*") and
  not process.command_line : (
    "*/dev/tcp/sirh_db/*", "*/dev/tcp/remoteiot.com/*", "*dev/tcp/elk.stag.one/*", "*dev/tcp/kafka/*",
    "*/dev/tcp/$0/$1*", "*/dev/tcp/127.*", "*/dev/udp/127.*", "*/dev/tcp/localhost/*", "*/dev/tcp/itom-vault/*") and
  not process.parent.command_line : "runc init"

框架: MITRE ATT&CKTM