Halfbaked 命令与控制信标
编辑Halfbaked 命令与控制信标
编辑Halfbaked 是一种恶意软件家族,用于在受争议的网络中建立持久性。此规则检测 Halfbaked 植入信标用于命令和控制的网络活动算法。
规则类型: 查询
规则索引:
- packetbeat-*
- auditbeat-*
- filebeat-*
- logs-network_traffic.*
严重性: 高
风险评分: 73
运行频率: 5 分钟
搜索索引时间范围: now-9m (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考资料:
标签:
- 用例:威胁检测
- 战术:命令与控制
- 域:端点
版本: 104
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑(event.dataset: (network_traffic.tls OR network_traffic.http) OR
(event.category: (network OR network_traffic) AND network.protocol: http)) AND
network.transport:tcp AND url.full:/http:\/\/[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}\/cd/ AND
destination.port:(53 OR 80 OR 8080 OR 443)
框架: MITRE ATT&CKTM
-
战术
- 名称:命令与控制
- ID:TA0011
- 参考 URL:https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称:应用层协议
- ID:T1071
- 参考 URL:https://attack.mitre.org/techniques/T1071/
-
技术
- 名称:动态解析
- ID:T1568
- 参考 URL:https://attack.mitre.org/techniques/T1568/
-
子技术
- 名称:域名生成算法
- ID:T1568.002
- 参考 URL:https://attack.mitre.org/techniques/T1568/002/