› › ›

通过 Grep 发现安全软件

编辑

通过 Grep 发现安全软件编辑

识别使用 grep 命令来发现已知的第三方 macOS 和 Linux 安全工具，例如反病毒软件或主机防火墙详细信息。

规则类型: eql

规则索引:

logs-endpoint.events.*
auditbeat-*

严重性: 中等

风险评分: 47

每隔: 5m 运行

搜索索引从: now-9m (日期数学格式，另请参见 额外的回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

领域: 端点
操作系统: macOS
操作系统: Linux
用例: 威胁检测
战术: 发现
资源: 调查指南
数据源: Elastic Defend

版本: 109

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

调查指南编辑

分类和分析

调查通过 Grep 发现安全软件

成功入侵环境后，攻击者可能会尝试获得态势感知以计划下一步行动。这可以通过运行命令来枚举网络资源、用户、连接、文件和已安装的安全软件来实现。

此规则查找执行 grep 实用程序，其参数与枚举主机上安装的安全软件兼容。攻击者可以使用此信息来决定是否感染系统、禁用保护、使用绕过方法等。

可能的调查步骤

调查未知进程的进程执行链（父进程树）。检查其可执行文件以查看其流行程度以及它们是否位于预期位置。
调查过去 48 小时内与用户/主机相关的其他告警。
调查任何异常的帐户行为，例如命令执行、文件创建或修改以及网络连接。
调查主题进程的任何异常行为，例如网络连接、文件修改以及任何生成的子进程。
检查主机在告警时间范围内是否存在可疑或异常行为。
验证活动是否与计划的补丁、更新、网络管理员活动或合法软件安装无关。

误报分析

如果发现活动是孤立发生的，则并非天生恶意。只要分析人员没有识别与用户或主机相关的可疑活动，就可以忽略此类告警。

响应和修复

根据分类结果启动事件响应流程。
隔离相关主机以防止进一步的入侵后行为。
调查受攻击者入侵或使用的系统上的凭据泄露，以确保识别所有受损帐户。重置这些帐户和其他可能受损凭据的密码，例如电子邮件、业务系统和 Web 服务。
运行完整的反恶意软件扫描。这可能会发现系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始攻击向量并采取措施防止通过相同向量再次感染。
使用事件响应数据，更新日志记录和审计策略以改进平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

如果在非 elastic-agent 索引（例如 beats）上为版本 <8.2 启用 EQL 规则，则事件将不会定义 event.ingested 并且直到版本 8.2 才会添加 EQL 规则的默认回退。因此，为了使此规则有效运行，用户需要添加自定义摄取管道以将 event.ingested 填充为 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

process where event.type == "start" and
process.name : "grep" and user.id != "0" and
 not process.parent.executable : ("/Library/Application Support/*", "/opt/McAfee/agent/scripts/ma") and
   process.args :
         ("Little Snitch*",
          "Avast*",
          "Avira*",
          "ESET*",
          "BlockBlock*",
          "360Sec*",
          "LuLu*",
          "KnockKnock*",
          "kav",
          "KIS",
          "RTProtectionDaemon*",
          "Malware*",
          "VShieldScanner*",
          "WebProtection*",
          "webinspectord*",
          "McAfee*",
          "isecespd*",
          "macmnsvc*",
          "masvc*",
          "kesl*",
          "avscan*",
          "guard*",
          "rtvscand*",
          "symcfgd*",
          "scmdaemon*",
          "symantec*",
          "sophos*",
          "osquery*",
          "elastic-endpoint*"
          ) and
   not (
     (process.args : "Avast" and process.args : "Passwords") or
     (process.parent.args : "/opt/McAfee/agent/scripts/ma" and process.parent.args : "checkhealth") or
     (process.command_line : (
       "grep ESET Command-line scanner, version %s -A2",
       "grep -i McAfee Web Gateway Core version:",
       "grep --color=auto ESET Command-line scanner, version %s -A2"
       )
     ) or
     (process.parent.command_line : (
       """sh -c printf "command_start_%s"*; perl -pe 's/[^ -~]/\n/g' < /opt/eset/esets/sbin/esets_scan | grep 'ESET Command-line scanner, version %s' -A2 | tail -1; printf "command_done_%s*""",
       """bash -c perl -pe 's/[^ -~]/\n/g' < /opt/eset/esets/sbin/esets_scan | grep 'ESET Command-line scanner, version %s' -A2 | tail -1"""
       )
     )
    )

框架: MITRE ATT&CK^TM

战术
- 名称: 发现
- ID: TA0007
- 参考 URL: https://attack.mitre.org/tactics/TA0007/
技术
- 名称: 软件发现
- ID: T1518
- 参考 URL: https://attack.mitre.org/techniques/T1518/
子技术
- 名称: 安全软件发现
- ID: T1518.001
- 参考 URL: https://attack.mitre.org/techniques/T1518/001/

« 使用 WMIC 发现安全软件发现段错误 »