Cobalt Strike 命令与控制信标
编辑Cobalt Strike 命令与控制信标编辑
Cobalt Strike 是一个威胁模拟平台,经常被攻击者修改和用于进行网络攻击和漏洞利用活动。此规则检测 Cobalt Strike 植入信标用于命令和控制的网络活动算法。
规则类型:查询
规则索引:
- packetbeat-*
- auditbeat-*
- filebeat-*
- logs-network_traffic.*
严重性:高
风险评分: 73
运行频率:5 分钟
搜索索引范围:now-9m(日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考资料:
标签:
- 用例:威胁检测
- 战术:命令与控制
- 领域:终端
版本: 105
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
规则查询编辑
((event.category: (network OR network_traffic) AND type: (tls OR http))
OR event.dataset: (network_traffic.tls OR network_traffic.http)
) AND destination.domain:/[a-z]{3}.stage.[0-9]{8}\..*/
框架:MITRE ATT&CKTM
-
战术
- 名称:命令与控制
- ID:TA0011
- 参考链接:https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称:应用层协议
- ID:T1071
- 参考链接:https://attack.mitre.org/techniques/T1071/
-
技术
- 名称:动态解析
- ID:T1568
- 参考链接:https://attack.mitre.org/techniques/T1568/
-
子技术
- 名称:域名生成算法
- ID:T1568.002
- 参考链接:https://attack.mitre.org/techniques/T1568/002/