通过 GDB 进行 Linux 进程 Hook
编辑通过 GDB 进行 Linux 进程 Hook
编辑此规则监控通过 gdb 进行潜在的内存转储。攻击者可能会利用内存转储技术来尝试从特权进程中提取机密信息。显示此行为的工具包括“truffleproc”和“bash-memory-dump”。默认情况下不应发生此行为,应彻底调查。
规则类型: eql
规则索引:
- logs-endpoint.events.*
- endgame-*
- auditbeat-*
- logs-auditd_manager.auditd-*
严重程度: 低
风险评分: 21
运行频率: 5m
搜索索引时间范围: now-9m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 域: 端点
- 操作系统: Linux
- 用例: 威胁检测
- 战术: 凭证访问
- 数据源: Elastic Defend
- 数据源: Elastic Endgame
- 数据源: Auditd 管理器
版本: 3
规则作者:
- Elastic
规则许可: Elastic License v2
规则查询
编辑process where host.os.type == "linux" and event.type == "start" and event.action in ("exec", "exec_event", "executed", "process_started")
and process.name == "gdb" and process.args in ("--pid", "-p") and
/* Covered by d4ff2f53-c802-4d2e-9fb9-9ecc08356c3f */
process.args != "1"
框架: MITRE ATT&CKTM
-
战术
- 名称: 凭证访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称: 操作系统凭证转储
- ID: T1003
- 参考 URL: https://attack.mitre.org/techniques/T1003/
-
子技术
- 名称: Proc 文件系统
- ID: T1003.007
- 参考 URL: https://attack.mitre.org/techniques/T1003/007/