默认 Cobalt Strike 团队服务器证书
编辑默认 Cobalt Strike 团队服务器证书
编辑此规则检测到使用了默认的 Cobalt Strike 团队服务器 TLS 证书。Cobalt Strike 是用于对手模拟和红队行动的软件,这些安全评估会模拟网络中高级对手的战术和技术。可以修改 Packetbeat 配置以包含 MD5 和 SHA256 哈希算法(默认为 SHA1)。有关模块配置的更多信息,请参阅参考部分。
规则类型: 查询
规则索引:
- packetbeat-*
- auditbeat-*
- filebeat-*
- logs-network_traffic.*
严重程度: 严重
风险评分: 99
运行频率: 5 分钟
搜索索引起始时间: now-9m (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考:
- https://attack.mitre.org/software/S0154/
- https://www.cobaltstrike.com/help-setup-collaboration
- https://elastic.ac.cn/guide/en/beats/packetbeat/current/configuration-tls.html
- https://elastic.ac.cn/guide/en/beats/filebeat/7.9/filebeat-module-suricata.html
- https://elastic.ac.cn/guide/en/beats/filebeat/7.9/filebeat-module-zeek.html
- https://elastic.ac.cn/security-labs/collecting-cobalt-strike-beacons-with-the-elastic-stack
标签:
- 战术:命令和控制
- 威胁:Cobalt Strike
- 用例:威胁检测
- 域:端点
版本: 104
规则作者:
- Elastic
规则许可: Elastic License v2
调查指南
编辑威胁情报
虽然 Cobalt Strike 旨在用于渗透测试和 IR 培训,但它经常被 APT19、APT29、APT32、APT41、FIN6、DarkHydrus、CopyKittens、Cobalt Group、Leviathan 和许多其他未命名的犯罪 TA 等实际威胁行动者 (TA) 使用。此规则使用高置信度的原子指标,因此应快速调查警报。
规则查询
编辑(event.dataset: network_traffic.tls or event.category: (network or network_traffic)) and (tls.server.hash.md5:950098276A495286EB2A2556FBAB6D83 or tls.server.hash.sha1:6ECE5ECE4192683D2D84E25B0BA7E04F9CB7EB7C or tls.server.hash.sha256:87F2085C32B6A2CC709B365F55873E207A9CAA10BFFECF2FD16D3CF9D94D390C)
框架: MITRE ATT&CKTM
-
战术
- 名称:命令和控制
- ID:TA0011
- 参考 URL:https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称:应用层协议
- ID:T1071
- 参考 URL:https://attack.mitre.org/techniques/T1071/
-
子技术
- 名称:Web 协议
- ID:T1071.001
- 参考 URL:https://attack.mitre.org/techniques/T1071/001/