潜在内存寻址活动

编辑

潜在内存寻址活动编辑

监视可能被用作内存地址寻址器的 Unix 实用程序的执行。攻击者可能利用内置实用程序来寻址特定内存地址，从而实现潜在的未来操纵/利用。

规则类型：eql

规则索引:

logs-endpoint.events.*
endgame-*

严重性：低

风险评分: 21

每隔：5 分钟运行一次

从以下时间开始搜索索引：now-9m（日期数学格式，另请参阅 附加回溯时间）

每次执行的最大警报数: 100

参考:

https://github.com/arget13/DDexec

标签:

域：端点
操作系统：Linux
用例：威胁检测
策略：发现
规则类型：BBR
数据源：Elastic Defend
数据源：Elastic Endgame

版本: 2

规则作者:

Elastic

规则许可：Elastic 许可证 v2

规则查询编辑

process where host.os.type == "linux" and event.type == "start" and event.action in ("exec", "exec_event") and (
  (process.name == "tail" and process.args == "-c") or
  (process.name == "cmp" and process.args == "-i") or
  (process.name in ("hexdump", "xxd") and process.args == "-s") or
  (process.name == "dd" and process.args : ("skip*", "seek*"))
)

框架：MITRE ATT&CK^TM

策略
- 名称：发现
- ID：TA0007
- 参考网址：https://attack.mitre.org/tactics/TA0007/
技术
- 名称：进程发现
- ID：T1057
- 参考网址：https://attack.mitre.org/techniques/T1057/

« 潜在伪装成 VLC DLL 潜在 Meterpreter 反向 Shell »