通过 GDB 进行 Linux 进程挂钩
编辑通过 GDB 进行 Linux 进程挂钩编辑
此规则监控通过 gdb 进行的潜在内存转储。攻击者可能利用内存转储技术尝试从特权进程中提取机密。显示此行为的工具包括“truffleproc”和“bash-memory-dump”。此行为不应默认发生,应彻底调查。
规则类型:eql
规则索引:
- logs-endpoint.events.*
- endgame-*
- auditbeat-*
- logs-auditd_manager.auditd-*
严重性:低
风险评分: 21
每隔:5 分钟运行一次
从以下时间开始搜索索引:now-9m(日期数学格式,另请参见 其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域:端点
- 操作系统:Linux
- 用例:威胁检测
- 策略:凭据访问
- 数据源:Elastic Defend
- 数据源:Elastic Endgame
- 数据源:Auditd Manager
版本: 3
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
规则查询编辑
process where host.os.type == "linux" and event.type == "start" and event.action in ("exec", "exec_event", "executed", "process_started")
and process.name == "gdb" and process.args in ("--pid", "-p") and
/* Covered by d4ff2f53-c802-4d2e-9fb9-9ecc08356c3f */
process.args != "1"
框架:MITRE ATT&CKTM
-
策略
- 名称:凭据访问
- ID:TA0006
- 参考网址:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:操作系统凭据转储
- ID:T1003
- 参考网址:https://attack.mitre.org/techniques/T1003/
-
子技术
- 名称:进程文件系统
- ID:T1003.007
- 参考 URL:https://attack.mitre.org/techniques/T1003/007/