潜在的 JAVA/JNDI 利用尝试

编辑

潜在的 JAVA/JNDI 利用尝试

编辑

识别 JAVA 到 LDAP、RMI 或 DNS 标准端口的出站网络连接，随后出现可疑的 JAVA 子进程。这可能表明尝试利用 JAVA/NDI (Java 命名和目录接口) 注入漏洞。

规则类型: eql

规则索引:

auditbeat-*
logs-endpoint.events.*

严重性: 高

风险评分: 73

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

域: 端点
操作系统: Linux
操作系统: macOS
使用场景: 威胁检测
策略: 执行
使用场景: 漏洞
数据源: Elastic Defend

版本: 104

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

sequence by host.id with maxspan=1m
 [network where event.action == "connection_attempted" and
  process.name : "java" and
  /*
     outbound connection attempt to
     LDAP, RMI or DNS standard ports
     by JAVA process
   */
  destination.port in (1389, 389, 1099, 53, 5353)] by process.pid
 [process where event.type == "start" and

  /* Suspicious JAVA child process */
  process.parent.name : "java" and
   process.name : ("sh",
                   "bash",
                   "dash",
                   "ksh",
                   "tcsh",
                   "zsh",
                   "curl",
                   "perl*",
                   "python*",
                   "ruby*",
                   "php*",
                   "wget")] by process.parent.pid

框架: MITRE ATT&CK^TM

策略
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 命令和脚本解释器
- ID: T1059
- 参考 URL: https://attack.mitre.org/techniques/T1059/
子技术
- 名称: JavaScript
- ID: T1059.007
- 参考 URL: https://attack.mitre.org/techniques/T1059/007/
技术
- 名称: 客户端执行漏洞利用
- ID: T1203
- 参考 URL: https://attack.mitre.org/techniques/T1203/

« 潜在的 Invoke-Mimikatz PowerShell 脚本潜在的通过 Bifrost 发起的 Kerberos 攻击 »