Cobalt Strike 命令和控制信标
编辑Cobalt Strike 命令和控制信标
编辑Cobalt Strike 是一个威胁模拟平台,通常被攻击者修改和使用,以进行网络攻击和漏洞利用活动。此规则检测 Cobalt Strike 植入信标用于命令和控制的网络活动算法。
规则类型: 查询
规则索引:
- packetbeat-*
- auditbeat-*
- filebeat-*
- logs-network_traffic.*
严重性: 高
风险评分: 73
运行频率: 5 分钟
搜索索引时间范围: now-9m (日期数学格式,另请参阅 附加回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 用例: 威胁检测
- 策略: 命令和控制
- 域: 端点
版本: 105
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑((event.category: (network OR network_traffic) AND type: (tls OR http))
OR event.dataset: (network_traffic.tls OR network_traffic.http)
) AND destination.domain:/[a-z]{3}.stage.[0-9]{8}\..*/
框架: MITRE ATT&CKTM
-
策略
- 名称: 命令和控制
- ID: TA0011
- 参考 URL: https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称: 应用层协议
- ID: T1071
- 参考 URL: https://attack.mitre.org/techniques/T1071/
-
技术
- 名称: 动态解析
- ID: T1568
- 参考 URL: https://attack.mitre.org/techniques/T1568/
-
子技术
- 名称: 域名生成算法
- ID: T1568.002
- 参考 URL: https://attack.mitre.org/techniques/T1568/002/