来自不寻常父进程的 Curl SOCKS 代理活动

设置

此规则需要来自 Elastic Defend 的数据。

Elastic Defend 集成设置

Elastic Defend 使用 Fleet 集成到 Elastic Agent 中。配置完成后，该集成允许 Elastic Agent 监视主机上的事件并将数据发送到 Elastic Security 应用程序。

先决条件

应执行以下步骤，以便在 Linux 系统上添加 Elastic Defend 集成

默认情况下，Elastic Defend 集成不会收集环境变量日志。为了捕获此行为，此规则需要在 Elastic Defend 集成的高级设置中设置特定的配置选项。## 要为 Elastic Agent 策略设置环境变量捕获：- 转到“安全 → 管理 → 策略”。 - 选择“Elastic Agent 策略”。 - 单击“显示高级设置”。 - 向下滚动或搜索“linux.advanced.capture_env_vars”。 - 输入要捕获的环境变量的名称，以逗号分隔。 - 对于此规则，linux.advanced.capture_env_vars 变量应设置为“HTTP_PROXY,HTTPS_PROXY,ALL_PROXY”。 - 单击“保存”。保存集成更改后，运行此策略的 Elastic Agent 将会更新，并且该规则将正常工作。有关捕获环境变量的更多信息，请参阅帮助指南。

process where host.os.type == "linux" and event.type == "start" and event.action == "exec" and
process.name == "curl" and (
  process.parent.executable like (
    "/dev/shm/*", "/tmp/*", "/var/tmp/*", "/var/run/*", "/root/*", "/boot/*", "/var/www/html/*", "/opt/.*"
  ) or
  process.parent.name in ("bash", "dash", "sh", "tcsh", "csh", "zsh", "ksh", "fish")
) and (
  process.args like ("--socks5-hostname", "--proxy", "--preproxy", "socks5*") or
  process.args == "-x" or
  process.env_vars like ("http_proxy=socks5h://*", "HTTPS_PROXY=socks5h://*", "ALL_PROXY=socks5h://*")
)

框架: MITRE ATT&CK^TM