› › ›

以前未知的可执行文件对互联网的可疑网络活动

以前未知的可执行文件对互联网的可疑网络活动编辑

此规则监控从位于可疑目录中的以前未知的可执行文件到互联网的网络连接。此规则的警报可能指示存在潜在的恶意活动，例如执行未经授权或可疑的进程，试图与未知或可疑的目标（例如命令和控制服务器）建立连接。检测和调查此类行为有助于识别和减轻潜在的安全威胁，保护系统及其数据免受潜在的危害。

规则类型: new_terms

规则索引:

auditbeat-*
filebeat-*
packetbeat-*
logs-endpoint.events.*
endgame-*

严重性: 低

风险评分: 21

每隔: 5m

从以下时间开始搜索索引: now-59m (日期数学格式，另请参阅 其他回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

域：端点
操作系统：Linux
用例：威胁检测
策略：命令和控制
数据源：Elastic Endgame
数据源：Elastic Defend

版本: 9

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

调查指南编辑

分类和分析

调查以前未知的可执行文件对互联网的可疑网络活动

安装后，恶意软件通常会呼叫其命令和控制服务器，以接收其操作员的进一步指令。

此规则利用新术语规则类型来检测以前未知的进程，从而启动与外部 IP 地址的网络连接。

注意：此调查指南使用 Osquery Markdown 插件，该插件在 Elastic Stack 版本 8.5.0 中引入。较旧的 Elastic Stack 版本将在本指南中显示未呈现的 Markdown。此调查指南使用占位符字段将警报数据动态传递到 Osquery 查询中。占位符字段在 Elastic Stack 版本 8.7.0 中引入。如果您使用的是 Elastic Stack 版本 8.6.0 或更早版本，则需要手动调整此调查指南的查询，以确保它们正常运行。

可能的调查步骤

识别可疑网络活动或异常的任何迹象，这些迹象可能表明存在恶意行为。这可能包括意外的流量模式或异常的网络行为。
调查监听端口和开放套接字，以查找潜在的恶意进程、反向 shell 或数据窃取。
!{osquery{"label":"Osquery - 检索监听端口","query":"SELECT pid, address, port, socket, protocol, path FROM listening_ports"}}
!{osquery{"label":"Osquery - 检索开放套接字","query":"SELECT pid, family, remote_address, remote_port, socket, state FROM process_open_sockets"}}
识别执行该操作的用户帐户，对其进行分析，并检查它是否应执行此类操作。
!{osquery{"label":"Osquery - 检索特定用户的信息","query":"SELECT * FROM users WHERE username = {{user.name}}"}}
调查用户当前是否已登录且处于活动状态。
!{osquery{"label":"Osquery - 调查帐户身份验证状态","query":"SELECT * FROM logged_in_users WHERE user = {{user.name}}"}}
调查未知进程的脚本执行链（父进程树）。检查其可执行文件是否普遍存在以及它们是否位于预期位置。
!{osquery{"label":"Osquery - 按用户检索正在运行的进程","query":"SELECT pid, username, name FROM processes p JOIN users u ON u.uid = p.uid ORDER BY username"}}
!{osquery{"label":"Osquery - 检索进程信息","query":"SELECT name, cmdline, parent, path, uid FROM processes"}}
调查过去 48 小时内与用户/主机关联的其他警报。
如果脚本或可执行文件已删除，请检索文件并确定它们是否恶意
使用私有沙箱恶意软件分析系统执行分析。
观察并收集有关以下活动的信息
尝试联系外部域和地址。
检查该域是否新注册或意外。
检查域或 IP 地址的信誉。
文件访问、修改和创建活动。

相关规则

通过 cat - afd04601-12fc-4149-9b78-9c3f8fe45d39 检测到的网络活动

误报分析

如果此活动与新的良性软件安装活动相关，请考虑添加例外情况——最好结合用户和命令行条件。
尝试通过思考用户、机器或业务目的来理解执行的上下文。少数端点（例如具有独特软件的服务器）可能看起来不寻常，但可以满足特定的业务需求。

响应和补救

根据分类的结果启动事件响应流程。
隔离涉及的主机以防止进一步的妥协后行为。
如果分类识别出恶意软件，请在环境中搜索其他受损主机。
实施临时网络规则、程序和分段以遏制恶意软件。
停止可疑进程。
立即阻止已识别的妥协指标 (IoC)。
检查受影响的系统是否存在其他恶意软件后门，例如攻击者可能用来重新感染系统的反向 shell、反向代理或投放器。
删除和阻止分类期间识别的恶意工件。
调查攻击者妥协或使用的系统上的凭证泄露情况，以确保识别出所有受损帐户。重置这些帐户和其他可能受损的凭证的密码，例如电子邮件、业务系统和 Web 服务。
运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始媒介，并采取措施防止通过同一媒介重新感染。
利用事件响应数据和日志记录来缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

此规则需要来自以下集成之一的数据：- Elastic Defend - Auditbeat - Filebeat - Packetbeat

Elastic Defend 集成设置

Elastic Defend 使用 Fleet 集成到 Elastic Agent 中。配置后，该集成允许 Elastic Agent 监视主机上的事件并将数据发送到 Elastic Security 应用。

先决条件

Elastic Defend 需要 Fleet。
要配置 Fleet 服务器，请参阅文档。

应按顺序执行以下步骤以在 Linux 系统上添加 Elastic Defend 集成

转到 Kibana 主页，然后单击“添加集成”。
在查询栏中，搜索“Elastic Defend”，然后选择集成以查看有关它的更多详细信息。
单击“添加 Elastic Defend”。
配置集成名称，并可选择添加描述。
选择要保护的环境类型，“传统端点”或“云工作负载”。
选择配置预设。每个预设都为 Elastic Agent 提供不同的默认设置，稍后可以通过配置 Elastic Defend 集成策略进一步自定义这些设置。帮助指南。
我们建议选择“完整 EDR（端点检测和响应）”作为配置设置，它提供“所有事件；所有预防措施”
在“新代理策略名称”中输入代理策略的名称。如果其他代理策略已存在，则可以单击“现有主机”选项卡并选择现有策略。有关 Elastic Agent 配置设置的更多详细信息，请参阅帮助指南。
单击“保存并继续”。
要完成集成，请选择“将 Elastic Agent 添加到您的主机”，然后继续到下一部分以在您的主机上安装 Elastic Agent。有关 Elastic Defend 的更多详细信息，请参阅帮助指南。

Auditbeat 设置

Auditbeat 是您可以安装在服务器上以审核系统上用户和进程活动的轻量级转发器。例如，您可以使用 Auditbeat 从 Linux 审核框架收集和集中审核事件。您还可以使用 Auditbeat 检测对关键文件（如二进制文件和配置文件）的更改，并识别潜在的安全策略违规行为。

应按顺序执行以下步骤以在 Linux 系统上添加 Auditbeat

Elastic 提供适用于基于 APT 和 YUM 的发行版的存储库。请注意，我们提供二进制包，但不提供源包。
要安装 APT 和 YUM 存储库，请按照此帮助指南中的设置说明进行操作。
要在 Docker 上运行 Auditbeat，请按照帮助指南中的设置说明进行操作。
要在 Kubernetes 上运行 Auditbeat，请按照帮助指南中的设置说明进行操作。
有关“设置和运行 Auditbeat”的完整信息，请参阅帮助指南。

Filebeat 设置

Filebeat 是一个轻量级转发器，用于转发和集中日志数据。Filebeat 安装在服务器上的代理上，监视您指定的日志文件或位置，收集日志事件，并将它们转发到 Elasticsearch 或 Logstash 进行索引。

应按顺序执行以下步骤，以便在 Linux 系统上添加 Filebeat

Elastic 提供适用于基于 APT 和 YUM 的发行版的存储库。请注意，我们提供二进制包，但不提供源包。
要安装 APT 和 YUM 存储库，请按照此帮助指南中的设置说明进行操作。
要在 Docker 上运行 Filebeat，请按照帮助指南中的设置说明进行操作。
要在 Kubernetes 上运行 Filebeat，请按照帮助指南中的设置说明进行操作。
有关 Filebeat 的快速入门信息，请参阅帮助指南。
有关“设置和运行 Filebeat”的完整信息，请参阅帮助指南。

Packetbeat 设置

Packetbeat 是一款实时网络数据包分析器，可用于进行应用程序监控、性能分析和威胁检测。Packetbeat 的工作原理是捕获应用程序服务器之间的网络流量，解码应用程序层协议（HTTP、MySQL、Redis 等），将请求与响应关联，并记录每个事务的有趣字段。

应按顺序执行以下步骤，以便在 Linux 系统上添加 Packetbeat

Elastic 提供适用于基于 APT 和 YUM 的发行版的存储库。请注意，我们提供二进制包，但不提供源包。
要安装 APT 和 YUM 存储库，请按照此辅助指南中的设置说明进行操作。
要在 Docker 上运行 Packetbeat，请按照辅助指南中的设置说明进行操作。
有关 Packetbeat 的快速入门信息，请参阅辅助指南。
有关“设置和运行 Packetbeat”的完整信息，请参阅辅助指南。

规则查询编辑

host.os.type:linux and event.category:network and event.action:(connection_attempted or ipv4_connection_attempt_event) and
process.executable:(
  (/etc/crontab or /etc/rc.local or ./* or /boot/* or /dev/shm/* or /etc/cron.*/* or /etc/init.d/* or /etc/rc*.d/* or
   /etc/update-motd.d/* or /home/*/.* or /run/* or /srv/* or /tmp/* or /usr/lib/update-notifier/* or /var/tmp/* or
   /var/log/*
  ) and not (/tmp/newroot/* or /tmp/snap.rootfs*)
 ) and
source.ip:(10.0.0.0/8 or 127.0.0.0/8 or 172.16.0.0/12 or 192.168.0.0/16) and
not process.name:(
 apt or chrome or curl or dnf or dockerd or dpkg or firefox-bin or java or kite-update or kited or node or rpm or
 saml2aws or wget or yum or ansible* or aws* or php* or pip* or python* or steam* or terraform*
) and
not destination.ip:(
   10.0.0.0/8 or 100.64.0.0/10 or 127.0.0.0/8 or 169.254.0.0/16 or 172.16.0.0/12 or 192.0.0.0/24 or 192.0.0.0/29 or
   192.0.0.10/32 or 192.0.0.170/32 or 192.0.0.171/32 or 192.0.0.8/32 or 192.0.0.9/32 or 192.0.2.0/24 or
   192.168.0.0/16 or 192.175.48.0/24 or 192.31.196.0/24 or 192.52.193.0/24 or 192.88.99.0/24 or 198.18.0.0/15 or
   198.51.100.0/24 or 203.0.113.0/24 or 224.0.0.0/4 or 240.0.0.0/4 or "::1" or "FE80::/10" or "FF00::/8" or 0.0.0.0
)

框架：MITRE ATT&CK^TM

策略
- 名称：命令和控制
- ID：TA0011
- 参考网址：https://attack.mitre.org/tactics/TA0011/
技术
- 名称：应用程序层协议
- ID：T1071
- 参考网址：https://attack.mitre.org/techniques/T1071/

« LSASS 加载的可疑模块通过 Sudo 二进制文件进行可疑网络连接 »