Contenido para búsqueda de amenazas: Lugar de ejecución sospechoso

La mayoría de las reglas publicadas en el Threat Detection Marketplace están destinadas a detectar ataques en sistemas Windows. Esto no es sorprendente ya que la mayoría de las amenazas están específicamente dirigidas al sistema operativo de Microsoft, ya que es el más popular. Pero hay amenazas serias para otros sistemas operativos, por lo que hoy te contaremos sobre una nueva regla del equipo de SOC Prime para detectar lugares de ejecución sospechosos en sistemas Linux a través de los logs de auditbeat: 

https://tdm.socprime.com/tdm/info/oSfxBay3MovM/CuZ-y3EBv8lhbg_iUo58/?p=1

Esta regla complementa la regla publicada anteriormente para detectar la actividad del grupo de hacking Outlaw, pero a diferencia de la regla Sigma basada en IOCs publicada en nuestro blog, es capaz de detectar ataques de otros grupos o botnets en servidores Linux. Las operaciones de ejecución sospechosas en lugares no ejecutables suelen estar relacionadas con la actividad de malware. Los servidores Linux son a menudo el objetivo de mineros de criptomonedas y ransomware, y esta regla probablemente ayudará a detectar un ataque a tiempo y prevenir la pérdida de datos o problemas de rendimiento.

Desafortunadamente, por el momento, las traducciones para esta regla están disponibles solo para unas pocas plataformas: Azure Sentinel, QRadar, ELK Stack, Humio, Carbon Black.

MITRE ATT&CK:

Tácticas: Ejecución, Evasión de Defensa

Técnicas: Interfaz de Línea de Comandos (T1059), Scripting (T1064)

Otras reglas relacionadas con los logs de auditbeat que permiten la detección de amenazas cibernéticas: https://tdm.socprime.com/?logSources[]=auditbeat&searchProject=&searchType=&searchSubType=&searchValue=