陷阱信号执行

编辑

陷阱信号执行编辑

识别与活动相关的活动，其中攻击者可以包含一个陷阱命令，然后允许程序和 shell 指定在接收到中断信号时将执行的命令。

规则类型: eql

规则索引:

logs-endpoint.events.*
endgame-*
auditbeat-*
logs-auditd_manager.auditd-*

严重性: 低

风险评分: 21

每隔: 60m

搜索索引时间: now-119m (日期数学格式，另请参见 附加回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

域: 端点
操作系统: Linux
操作系统: macOS
用例: 威胁检测
战术: 权限提升
规则类型: BBR
数据源: Elastic Defend
数据源: Elastic Endgame
数据源: Auditd Manager

版本: 2

规则作者:

Elastic

规则许可: Elastic 许可证 v2

规则查询编辑

process where event.type == "start" and event.action in ("exec", "exec_event", "executed", "process_started") and
process.name == "trap" and process.args : "SIG*"

框架: MITRE ATT&CK^TM

战术
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
技术
- 名称: 事件触发执行
- ID: T1546
- 参考 URL: https://attack.mitre.org/techniques/T1546/
子技术
- 名称: 陷阱
- ID: T1546.005
- 参考 URL: https://attack.mitre.org/techniques/T1546/005/

« 使用 Touch 命令进行时间戳欺骗通过提升的 COM Internet Explorer 加载项安装程序绕过 UAC »