来自未知可执行文件的UID提升
编辑来自未知可执行文件的UID提升
编辑监控通过以前未知的可执行文件将普通用户权限提升到root权限的行为。攻击者可能会尝试通过劫持执行流程并在rootkit中挂钩某些函数/系统调用来规避检测,以便通过特殊修改的命令轻松访问root。
规则类型: new_terms
规则索引:
- logs-endpoint.events.*
严重性: 中等
风险评分: 47
运行频率: 5分钟
搜索索引时间范围: now-9m (日期数学格式,另见 额外回溯时间)
每次执行的最大告警数: 100
参考: 无
标签:
- 领域: 端点
- 操作系统: Linux
- 用例: 威胁检测
- 战术: 权限提升
- 战术: 防御规避
- 数据源: Elastic Defend
版本: 4
规则作者:
- Elastic
规则许可证: Elastic License v2
设置
编辑设置
此规则需要来自Elastic Defend的数据。
Elastic Defend集成设置
Elastic Defend通过Fleet集成到Elastic Agent中。配置后,该集成允许Elastic Agent监控主机上的事件并将数据发送到Elastic Security应用程序。
先决条件
- Elastic Defend需要Fleet。
- 要配置Fleet服务器,请参考文档。
为了在Linux系统上添加Elastic Defend集成,应按顺序执行以下步骤
- 转到Kibana主页并点击“添加集成”。
- 在查询栏中,搜索Elastic Defend并选择集成以查看更多详细信息。
- 点击“添加Elastic Defend”。
- 配置集成名称,并可选择添加说明。
- 选择要保护的环境类型,即传统端点或云工作负载。
- 选择配置预设。每个预设都带有Elastic Agent的不同默认设置,您可以稍后通过配置Elastic Defend集成策略进一步自定义这些设置。辅助指南。
- 我们建议选择“完整EDR(端点检测和响应)”作为配置设置,它提供“所有事件;所有防护措施”。
- 在“新的Agent策略名称”中输入Agent策略的名称。如果其他Agent策略已存在,您可以点击“现有主机”选项卡并选择现有策略。有关Elastic Agent配置设置的更多详细信息,请参考辅助指南。
- 点击“保存并继续”。
- 要完成集成,请选择“将Elastic Agent添加到您的主机”,并继续到下一部分以在您的主机上安装Elastic Agent。有关Elastic Defend的更多详细信息,请参考辅助指南。
规则查询
编辑host.os.type:"linux" and event.category:"process" and event.action:"uid_change" and event.type:"change" and user.id:"0"
and process.parent.name:("bash" or "dash" or "sh" or "tcsh" or "csh" or "zsh" or "ksh" or "fish") and not (
process.executable:(
/bin/* or /usr/bin/* or /sbin/* or /usr/sbin/* or /snap/* or /tmp/newroot/* or /var/lib/docker/* or /usr/local/* or
/opt/psa/admin/* or /usr/lib/snapd/snap-confine or /opt/dynatrace/* or /opt/microsoft/* or
/var/lib/snapd/snap/bin/node or /opt/gitlab/embedded/sbin/logrotate or /etc/apt/universal-hooks/* or
/opt/puppetlabs/puppet/bin/puppet or /opt/cisco/* or /run/k3s/containerd/* or /usr/lib/postfix/sbin/master or
/usr/libexec/postfix/local or /var/lib/snapd/snap/bin/postgresql* or /opt/puppetlabs/puppet/bin/ruby
) or
process.name:(
"bash" or "dash" or "sh" or "tcsh" or "csh" or "zsh" or "ksh" or "fish" or "sudo" or "su" or "apt" or "apt-get" or
"aptitude" or "squid" or "snap" or "fusermount" or "pkexec" or "umount" or "master" or "omsbaseline" or "dzdo" or
"sandfly" or "logrotate"
) or
process.args:/usr/bin/python*
)
框架: MITRE ATT&CKTM
-
战术
- 名称: 权限提升
- ID: TA0004
- 参考URL: https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称: 劫持执行流程
- ID: T1574
- 参考URL: https://attack.mitre.org/techniques/T1574/
-
子技术
- 名称: KernelCallbackTable
- ID: T1574.013
- 参考URL: https://attack.mitre.org/techniques/T1574/013/
-
战术
- 名称: 防御规避
- ID: TA0005
- 参考URL: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: Rootkit
- ID: T1014
- 参考URL: https://attack.mitre.org/techniques/T1014/