默认 Cobalt Strike Team 服务器证书
编辑默认 Cobalt Strike Team 服务器证书编辑
此规则检测默认 Cobalt Strike Team Server TLS 证书的使用。Cobalt Strike 是用于对抗者模拟和红队操作的软件,这些操作是对网络中高级对抗者的策略和技术的安全评估。可以对 Packetbeat 配置进行修改以包括 MD5 和 SHA256 哈希算法(默认值为 SHA1)。有关模块配置的其他信息,请参阅参考部分。
规则类型:查询
规则索引:
- packetbeat-*
- auditbeat-*
- filebeat-*
- logs-network_traffic.*
严重性:严重
风险评分: 99
每隔运行:5 分钟
从以下时间开始搜索索引:now-9m(日期数学格式,另请参阅 其他回溯时间)
每次执行的最大警报数: 100
参考:
- https://attack.mitre.org/software/S0154/
- https://www.cobaltstrike.com/help-setup-collaboration
- https://elastic.ac.cn/guide/en/beats/packetbeat/current/configuration-tls.html
- https://elastic.ac.cn/guide/en/beats/filebeat/7.9/filebeat-module-suricata.html
- https://elastic.ac.cn/guide/en/beats/filebeat/7.9/filebeat-module-zeek.html
- https://elastic.ac.cn/security-labs/collecting-cobalt-strike-beacons-with-the-elastic-stack
标签:
- 策略:命令和控制
- 威胁:Cobalt Strike
- 用例:威胁检测
- 域:端点
版本: 104
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
威胁情报
虽然 Cobalt Strike 旨在用于渗透测试和 IR 培训,但它经常被实际威胁行为者 (TA) 使用,例如 APT19、APT29、APT32、APT41、FIN6、DarkHydrus、CopyKittens、Cobalt Group、Leviathan 以及许多其他未命名的犯罪 TA。此规则使用高置信度原子指标,因此应迅速调查警报。
规则查询编辑
(event.dataset: network_traffic.tls or event.category: (network or network_traffic)) and (tls.server.hash.md5:950098276A495286EB2A2556FBAB6D83 or tls.server.hash.sha1:6ECE5ECE4192683D2D84E25B0BA7E04F9CB7EB7C or tls.server.hash.sha256:87F2085C32B6A2CC709B365F55873E207A9CAA10BFFECF2FD16D3CF9D94D390C)
框架:MITRE ATT&CKTM
-
策略
- 名称:命令和控制
- ID:TA0011
- 参考网址:https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称:应用层协议
- ID:T1071
- 参考网址:https://attack.mitre.org/techniques/T1071/
-
子技术
- 名称:Web 协议
- ID:T1071.001
- 参考网址:https://attack.mitre.org/techniques/T1071/001/