Bedrohungsjagd-Inhalt: Verdächtig Ausführungsort

Die meisten der im Threat Detection Marketplace veröffentlichten Regeln zielen darauf ab, Angriffe auf Windows-Systeme zu erkennen. Dies ist nicht überraschend, da die meisten Bedrohungen speziell auf das Microsoft-Betriebssystem abzielen, da es das beliebteste ist. Aber es gibt ernsthafte Bedrohungen für andere Betriebssysteme, daher werden wir Ihnen heute von einer neuen Regel des SOC Prime Teams erzählen, um verdächtige Ausführungsorte auf Linux-Systemen über auditbeat-Logs zu erkennen: 

https://tdm.socprime.com/tdm/info/oSfxBay3MovM/CuZ-y3EBv8lhbg_iUo58/?p=1

Diese Regel ergänzt die zuvor veröffentlichte Regel zur Erkennung der Aktivitäten der Outlaw-Hackergruppe, aber im Gegensatz zur IOCs-basierten Sigma-Regel, die auf unserem Blog veröffentlicht wurde, ist sie in der Lage, Angriffe anderer Gruppen oder Botnets auf Linux-Server zu erkennen. Verdächtige Ausführungsoperationen an nicht ausführbaren Orten sind normalerweise mit Malware-Aktivitäten verbunden. Linux-Server sind oft das Ziel von Kryptowährungs-Miner und Ransomware, und diese Regel wird höchstwahrscheinlich helfen, einen Angriff rechtzeitig zu erkennen und Datenverlust oder Leistungsprobleme zu verhindern.

Leider stehen derzeit Übersetzungen für diese Regel nur für wenige Plattformen zur Verfügung: Azure Sentinel, QRadar, ELK Stack, Humio, Carbon Black.

MITRE ATT&CK:

Taktiken: Ausführung, Verteidigungsausweichen

Techniken: Befehlszeilen-Schnittstelle (T1059), Scripting (T1064)

Andere Regeln in Bezug auf auditbeat-Logs, die die Erkennung von Cyber-Bedrohungen ermöglichen: https://tdm.socprime.com/?logSources[]=auditbeat&searchProject=&searchType=&searchSubType=&searchValue=