Conteúdo de Caça a Ameaças: Local de Execução Suspeito

A maioria das regras publicadas no Threat Detection Marketplace são voltadas para a detecção de ataques em sistemas Windows. Isso não é surpreendente, pois a maioria das ameaças é especificamente direcionada ao sistema operacional da Microsoft, por ser o mais popular. Mas existem ameaças sérias para outros sistemas operacionais, então hoje vamos contar sobre uma nova regra da equipe SOC Prime para detectar locais de execução suspeitos em sistemas Linux via logs do auditbeat: 

https://tdm.socprime.com/tdm/info/oSfxBay3MovM/CuZ-y3EBv8lhbg_iUo58/?p=1

Esta regra complementa a regra publicada anteriormente para detectar a atividade do grupo de hackers Outlaw, mas ao contrário da regra Sigma baseada em IOCs publicada em nosso blog, é capaz de detectar ataques de outros grupos ou botnets em servidores Linux. Operações de execução suspeitas em locais não executáveis geralmente estão relacionadas à atividade de malware. Servidores Linux são frequentemente alvo de mineradores de criptomoedas e ransomware, e esta regra provavelmente ajudará a detectar um ataque a tempo e evitar perda de dados ou problemas de desempenho.

Infelizmente, por enquanto, traduções para esta regra estão disponíveis apenas para algumas plataformas: Azure Sentinel, QRadar, ELK Stack, Humio, Carbon Black.

MITRE ATT&CK:

Táticas: Execução, Evasão de Defesa

Técnicas: Interface de Linha de Comando (T1059), Scripting (T1064)

Outras regras relacionadas aos logs do auditbeat que permitem a detecção de ameaças cibernéticas: https://tdm.socprime.com/?logSources[]=auditbeat&searchProject=&searchType=&searchSubType=&searchValue=