可疑内存 grep 活动

编辑

可疑内存 grep 活动编辑

监视与内存映射相关的 grep 活动。Linux 中的 /proc/*/maps 文件为特定进程提供内存映射，详细说明内存段、权限以及映射到这些段的文件。攻击者可能会读取进程的内存映射以识别代码注入或进程劫持的内存地址。

规则类型: eql

规则索引:

logs-endpoint.events.*
endgame-*

严重性: 低

风险评分: 21

每隔: 5 分钟运行一次

从以下时间开始搜索索引: now-9m（日期数学格式，另请参阅 附加回溯时间）

每次执行的最大警报数: 100

参考:

https://github.com/arget13/DDexec

标签:

域：端点
操作系统：Linux
用例：威胁检测
策略：发现
规则类型：BBR
数据源：Elastic Defend
数据源：Elastic Endgame

版本: 2

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

规则查询编辑

process where host.os.type == "linux" and event.type == "start" and event.action in ("exec", "exec_event") and
process.name in ("grep", "egrep", "fgrep", "rgrep") and process.args in ("[stack]", "[vdso]", "[heap]")

框架: MITRE ATT&CK^TM

策略
- 名称：侦察
- ID：TA0007
- 参考网址：https://attack.mitre.org/tactics/TA0007/
技术
- 名称：进程侦察
- ID：T1057
- 参考网址：https://attack.mitre.org/techniques/T1057/

« 可疑托管代码托管进程 ClientAppId 访问可疑 Microsoft 365 邮件 »