潜在的 curl CVE-2023-38545 漏洞利用

设置

此规则要求数据来自 Elastic Defend。

Elastic Defend 集成设置

Elastic Defend 使用 Fleet 集成到 Elastic Agent 中。配置后，集成允许 Elastic Agent 监控主机上的事件并将数据发送到 Elastic Security 应用。

先决条件

应按顺序执行以下步骤，才能在 Linux 系统上添加 Elastic Defend 集成

Elastic Defend 集成默认情况下不会收集环境变量日志记录。为了捕获此行为，此规则需要在 Elastic Defend 集成的高级设置中设置特定的配置选项。## 为 Elastic Agent 策略设置环境变量捕获：- 转到“安全 → 管理 → 策略”。- 选择“Elastic Agent 策略”。- 单击“显示高级设置”。- 向下滚动或搜索“linux.advanced.capture_env_vars”。- 输入要捕获的环境变量的名称，用逗号分隔。- 对于此规则，linux.advanced.capture_env_vars 变量应设置为“http_proxy,HTTPS_PROXY,ALL_PROXY”。- 单击“保存”。在保存集成更改后，运行此策略的 Elastic Agent 将得到更新，并且规则将正常运行。有关捕获环境变量的更多信息，请参阅帮助指南。

process where host.os.type == "linux" and event.type == "start" and event.action == "exec" and process.name == "curl"
and (
  process.args : ("--socks5-hostname", "--proxy", "--preproxy", "socks5*") or
  process.env_vars: ("http_proxy=socks5h://*", "HTTPS_PROXY=socks5h://*", "ALL_PROXY=socks5h://*")
) and length(process.command_line) > 255 and
not process.parent.name in ("cf-agent", "agent-run", "agent-check", "rudder", "agent-inventory", "cf-execd") and
not process.args == "/opt/rudder/bin/curl"

框架：MITRE ATT&CK^TM