« 可疑 macOS MS Office 子进程 可疑 rc.local 错误消息 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和告警 预构建规则参考

可疑 pbpaste 高频活动

编辑

可疑 pbpaste 高频活动

编辑

识别大量的pbpaste执行,这可能表明存在一个 bash 循环不断收集剪贴板内容,潜在地允许攻击者窃取用户凭据或其他敏感信息。

规则类型: eql

规则索引:

  • logs-jamf_protect*
  • logs-endpoint.events.process-*

严重性: 中等

风险评分: 47

每隔: 5 分钟

搜索索引自: now-9m (日期数学格式,另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

  • 领域:终端
  • 操作系统:macOS
  • 用例:威胁检测
  • 战术:凭据访问
  • 数据源:Jamf Protect
  • 数据源:Elastic Defend

版本: 1

规则作者:

  • Thijs Xhaflaire

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

要调查pbpaste活动,重点确定该二进制文件是否被恶意用于收集剪贴板数据。请按照以下步骤操作

注意: 此调查指南使用 Elastic Stack 8.8.0 版中引入的Investigate Markdown 插件。较旧的 Elastic Stack 版本将在此指南中显示未呈现的 Markdown。

  1. 识别执行频率和模式

    • 检查内容:分析pbpaste执行的频率和时间。查找可能表明脚本或循环正在运行的持续时间间隔。
    • 原因:大量规律的pbpaste执行可能表明旨在持续捕获剪贴板数据的 bash 循环。

  2. 检查关联的脚本或进程

    • 检查内容:调查调用pbpaste的父进程或脚本。查找与这些执行相关的任何 cron 作业、bash 脚本或自动化任务。
    • 原因:了解触发pbpaste的原因有助于确定此活动是合法的还是恶意收集敏感信息企图的一部分。
    • !{investigate{"label":"显示具有相同父进程的事件","providers":[[{"excluded":false,"field":"host.hostname","queryType":"phrase","value":"{{host.hostname}}","valueType":"string"},{"excluded":false,"field":"process.entity_id","queryType":"phrase","value":"{{process.parent.entity_id}}","valueType":"string"}]]}}
    • $investigate_2

  3. 查看剪贴板内容

    • 检查内容:如果可能,在pbpaste执行期间捕获并查看剪贴板内容,以确定是否以用户凭据等敏感数据为目标。
    • 原因:攻击者可能会使用pbpaste从剪贴板中窃取有价值的信息。确定被收集的数据类型可以表明威胁的严重性。

  4. 检查数据泄露

    • 检查内容:调查与pbpaste使用相关的任何输出文件或网络活动。查找将收集的数据保存到文件、通过网络传输或发送到外部位置的迹象。
    • 原因:如果数据正在存储或传输,它可能是数据泄露企图的一部分。识别这一点有助于防止敏感信息泄露。

  5. 关联用户活动

    • 检查内容:pbpaste活动与用户的正常行为和系统使用模式进行比较。
    • 原因:如果pbpaste活动发生在用户不活动的时间,或者用户否认启动此类任务,则可能表明未经授权的访问或帐户被入侵。

通过彻底调查pbpaste活动的这些方面,您可以确定这是否是合法流程的一部分,或者是一个需要解决的潜在安全威胁。

设置

编辑

设置

此规则需要来自 Jamf Protect 的数据。

Jamf Protect 集成设置

Jamf Protect 使用 Fleet 集成到 Elastic Agent 中。配置后,集成允许 Elastic Agent 监控传入事件并向 Elastic 发送数据。

先决条件

  • Jamf Protect 需要 Fleet。
  • 要配置 Fleet 服务器,请参阅文档

为了添加 Jamf Protect 集成,应按顺序执行以下步骤

  • 转到 Kibana 首页并单击“添加集成”。
  • 在查询栏中,搜索“Jamf Protect”并选择集成以查看有关它的更多详细信息。
  • 单击“添加 Jamf Protect”。
  • 配置集成名称。
  • 单击“保存并继续”。

规则查询

编辑
sequence by host.hostname, host.id with maxspan=1m
[process where host.os.type == "macos" and event.type == "start" and event.action == "exec" and process.name: "pbpaste"] with runs = 5

框架: MITRE ATT&CKTM

« 可疑 macOS MS Office 子进程 可疑 rc.local 错误消息 »