Contenuto della Caccia alle Minacce: Esecuzione Sospetta di Contenuti

La maggior parte delle regole pubblicate sul Threat Detection Marketplace mira a rilevare attacchi sui sistemi Windows. Questo non è sorprendente poiché la maggior parte delle minacce è specificamente indirizzata al sistema operativo Microsoft, essendo il più popolare. Tuttavia, ci sono serie minacce per altri sistemi operativi, quindi oggi vi parleremo di una nuova regola del SOC Prime Team per rilevare luoghi di esecuzione sospetti sui sistemi Linux tramite log di auditbeat: 

https://tdm.socprime.com/tdm/info/oSfxBay3MovM/CuZ-y3EBv8lhbg_iUo58/?p=1

Questa regola completa la regola precedentemente pubblicata per rilevare l’attività del gruppo di hacker Outlaw, ma a differenza della regola Sigma basata su IOC pubblicata sul nostro blog, è in grado di rilevare attacchi di altri gruppi o botnet su server Linux. Le operazioni di esecuzione sospette in luoghi non eseguibili sono solitamente legate ad attività malware. I server Linux sono spesso l’obiettivo di miner di criptovalute e ransomware, e questa regola probabilmente aiuterà a rilevare un attacco in tempo e prevenire la perdita di dati o problemi di prestazioni.

Purtroppo, per il momento, le traduzioni per questa regola sono disponibili solo per alcune piattaforme: Azure Sentinel, QRadar, ELK Stack, Humio, Carbon Black.

MITRE ATT&CK:

Tattiche: Esecuzione, Evasione Difensiva

Tecniche: Interfaccia a Riga di Comando (T1059), Scripting (T1064)

Altre regole relative ai log auditbeat che permettono il rilevamento di minacce informatiche: https://tdm.socprime.com/?logSources[]=auditbeat&searchProject=&searchType=&searchSubType=&searchValue=