Linux Suspiscious过程

描述

通过指定用户id为-1或4294967295，查找sudo中允许标准用户成为root用户的漏洞

建议

查看传递给sudo的有问题的命令，查看它是否在根用户的上下文中成功执行。

主教法冠ATT&CK技术

• 特权升级开发- T1068

描述

此检测识别运行Apache Tomcat web服务的' java '生成的' uname '。恶意行为者使用这种技术来验证Apache Struts Tomcat服务器是否被成功利用。

建议

确定正在启动的流程是预期的还是正常的行为。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 利用面向公众的应用程序- T1190

描述

这种检测识别了在Linux中使用内置实用程序创建反向shell的简单技术。恶意的参与者使用这种技术将一个shell从被攻击的主机发送回他们的系统，以便在被攻击后执行额外的系统命令

建议

确定正在启动的流程是预期的还是正常的行为。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 命令和脚本解释器-T1059

描述

该检测通过使用传递到命令行的' Socket '模块来识别简单的' perl '反向shell。恶意行为者使用这种技术在遭到破坏后将shell从被破坏的主机返回到他们的系统，以便执行额外的系统命令。

建议

确定正在启动的流程是预期的还是正常的行为。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 非应用层协议- T1095

描述

此检测标识shell通过设备' /dev/tcp '重定向到远程主机。恶意行为者使用这种技术将一个shell从被攻击的主机返回到他们的系统，以便在被攻击后执行额外的命令。

建议

确定正在启动的流程是预期的还是正常的行为。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 非应用层协议- T1095

描述

此检测标识正在执行的“取消阴影”实用程序的使用。恶意行为者使用这种技术来检索'/etc/shadow'和'/etc/password'文件的内容，同时为密码破解实用程序准备它们。

建议

检查有问题的警报。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 操作系统凭据转储-T1003
• /etc/passwd和/etc/shadow - T1003.008

描述

该指标旨在检测穿透测试/开发后框架Cobalt Strike的使用情况。该指标仅适用于Linux操作系统。

建议

调查流程事件，以确定该活动是否在客户端网络中得到授权和预期。

描述

这种检测识别出“触摸”命令正在试图将一个名为“可写”的文件写入不同的目录。这在试图查找可写目录的加密货币挖掘恶意软件中被观察到。

建议

确定活动是预期的还是良性行为。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 资源劫持- T1496

描述

该检测识别出正在使用的Kworker，这是Linux比特币挖掘软件Minerd的定制版本。恶意行为者通过其他恶意软件(如Mirai)在系统上投放KWorker

建议

确定正在启动的流程是预期的还是正常的行为。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 资源劫持- T1496

描述

此检测识别命令行，包括字符串“Minergate”。“Minergate”是一个命令行比特币矿机，经常被恶意行为者部署。

建议

确定正在启动的流程是预期的还是正常的行为。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 资源劫持- T1496

描述

矿池是运行加密挖掘软件的多个系统通过网络共享资源的一种方式。加密货币挖矿恶意软件通常会使用挖矿池来提高效率，因为它允许攻击者的所有受损系统协同工作。

建议

在系统上标识矿机进程。通过列出进程列表并标识使用最多CPU资源的进程，通常可以很容易地做到这一点。

描述

该检测识别出正在尝试停止加密货币矿工进程的“kill”命令。加密货币矿工将尝试识别在系统上运行的任何其他矿工，以确保它不会争夺资源。

建议

确定活动是预期的还是良性行为。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 资源劫持- T1496

描述

Watchbog是Linux的加密货币挖掘木马。它从Pastebin下载有效负载，并利用Jenkins和Redis服务器漏洞横向传播。

建议

确定这是否是授权管理员活动的一部分。检查生成命令的父进程，以及该进程可能生成的任何其他内容。如果此活动不是良性的或预期的，考虑将主机从已知的、好的源重建，并让用户更改密码。

主教法冠ATT&CK技术

• 资源劫持- T1496

描述

该检测识别与XMRig一致的命令行参数。XMRig是一个命令行Monero矿工，经常被恶意的参与者部署。

建议

确定正在启动的流程是预期的还是正常的行为。如果有必要，可以从已知的可靠源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 资源劫持- T1496

描述

该检测标识正在Linux系统上添加的环境变量HISTCONTROL= ignospace。这将导致任何以空格开头的命令都不会被记录到历史文件中。

建议

检查生成该命令的父进程，以及该进程可能生成的任何其他内容。如果该活动不是良性的或预期的，则考虑从已知的良好源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 清除命令历史记录- T1070.003

描述

基于linux的恶意软件，特别是带有加密货币挖掘组件的恶意软件，经常被观察到使用/tmp目录中的隐藏目录。这些目录将以。即/ tmp / .malware

建议

确定从隐藏目录启动的进程，并尝试确定它是否为预期行为。如果它是一个加密货币矿工，它可能会导致CPU使用率飙升至100%，这是识别它的一个简单方法。

主教法冠ATT&CK技术

• 隐藏文件和目录- T1564.001

描述

基于linux的恶意软件，特别是带有加密货币挖掘组件的恶意软件，经常从/tmp目录内的隐藏目录中执行共享对象(.so)文件。它们的文件路径类似于/tmp/.hidden/malware.so

建议

识别加载共享对象文件的进程，并尝试确定它是否为预期行为。如果它是一个加密货币矿工，它可能会导致CPU使用率飙升至100%，这是识别它的一个简单方法。

主教法冠ATT&CK技术

• 隐藏文件和目录- T1564.001

描述

识别由属于常用Web服务器软件（如Apache或Nginx）的进程执行的可疑命令。由web服务器进程执行的命令可以表示web shell或其他受损的web服务器。

建议

确定正在执行的命令是否是服务器预期操作的一部分。如果不是，请调查执行命令可能与之交互的任何文件、域或IP地址。

主教法冠ATT&CK技术

• Web Shell - T1505.003

描述

此检测识别正在运行的多个命令，这些命令试图发现有关系统上SSH活动的信息。这些命令包括搜索id_rsa和已知的_hosts文件、搜索bash_历史文件的内容、搜索.ssh/config文件的内容以及搜索.pem证书。

建议

确定这是否是授权管理员活动的一部分。检查生成命令的父进程，以及该进程可能生成的任何其他内容。如果此活动不是良性的或预期的，考虑将主机从已知的、好的源重建，并让用户更改密码。

主教法冠ATT&CK技术

• SSH-T1021.004
• SSH授权密钥- T1098.004

描述

此检测标识正在删除和重新创建的~/.ssh目录。观察到恶意软件这样做是为了用自己的SSH配置覆盖任何现有的SSH配置。

建议

研究~/中的新文件。ssh目录中。检查生成相关进程的父进程，以及它可能生成的任何进程。如果该活动不是良性的或预期的，则考虑从已知的良好源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• SSH-T1021.004
• SSH授权密钥- T1098.004

描述

此检测识别通过命令行到~/中回显的SSH密钥。ssh / authorized_keys文件中。恶意软件已经被观察到这样做，以允许SSH访问操作员。

建议

调查添加的密钥。检查生成相关进程的父进程，以及它可能生成的任何进程。如果该活动不是良性的或预期的，则考虑从已知的良好源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• SSH-T1021.004
• SSH授权密钥- T1098.004

描述

此检测标识正在启动Curl或Wget的Apache进程。这可能是由一个恶意的演员，谁已经破坏了一个web服务器，以下载额外的恶意软件。

建议

调查正在联系的URL，以及它是否具有合法的商业用途。如果这个活动不是良性的或预期的，考虑重建主机从一个已知的，好的来源。

主教法冠ATT&CK技术

• Web Shell - T1505.003

描述

此检测将识别Rapid7观察到正在被攻击的Linux web服务器上运行的命令，特别是那些通过Oracle Weblogic漏洞CVE-2020-14882和CVE-2020-14883以及Atlassian Confluence漏洞CVE-2021-26084被攻击的命令。

建议

研究产生的进程。一些命令可能被编码为十六进制或base64 -这些应该被解码，以便确定意图。如果该活动不是良性的或预期的，则考虑从已知的良好源代码重新构建主机，并更新到服务器软件的最新版本。

主教法冠ATT&CK技术

• 利用面向公众的应用程序- T1190

描述

此检测识别由Atlassian Confluence server应用程序启动的进程。观察到恶意参与者利用CVE-2021-26084进行攻击，这是2021年8月披露的汇流漏洞，可允许执行任意进程。Confluence有时确实合法地生成进程，但应特别注意常见的侦察命令，如whoami或ifconfig，以及指示正在下载其他文件的任何命令，如curl或wget。

建议

调查由Confluence产生的过程。一些命令可能被编码为十六进制或base64 -这些应该被解码，以便确定意图。如果这种活动不是良性的或预期的，则考虑从已知的良好来源重建主机，并更新到最新版本的Confluence。

其他信息可在Atlassian网站上找到：https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html

主教法冠ATT&CK技术

• 利用面向公众的应用程序- T1190

描述

该检测将识别用于从CloudFront URL下载数据的'curl'命令。恶意行为者已经被观察到使用'curl'从CloudFront下载第二阶段的有效载荷。

建议

研究CloudFront URL的内容。检查生成该命令的父进程，以及该进程可能生成的任何其他内容。如果该活动不是良性的或预期的，则考虑从已知的良好源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• Web服务-T1102
• 进入工具传输- T1105

描述

此检测识别用于下载shell脚本的Curl。恶意参与者经常使用Curl实用程序在受损的Linux系统上下载额外的有效负载。

建议

调查URL和从中提取的文件。检查生成相关进程的父进程，以及它可能生成的任何进程。如果该活动不是良性的或预期的，则考虑从已知的良好源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 进入工具传输- T1105

描述

该检测将识别从Curl实用程序管道输送到bash或其他shell进程的输出。恶意行为者可能使用Curl下载额外的恶意软件，并将该恶意软件通过管道进行bash执行。

建议

调查下载的URL。检查由Curl生成的shell进程生成的任何其他进程。如果该活动不是良性的或预期的，则考虑从已知的良好源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• unixshell-T1059.004
• 进入工具传输- T1105

描述

该检测将标识从管道输送到Perl的Curl实用程序的输出。恶意程序可能使用Curl下载额外的恶意软件，并将该恶意软件通过管道输送到Perl执行。

建议

调查下载的URL。检查由Curl生成的Perl进程所生成的其他进程。如果该活动不是良性的或预期的，则考虑从已知的良好源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 进入工具传输- T1105

描述

此检测将标识从管道输送到Python的Curl实用程序的输出。恶意行为者可能会使用Curl下载额外的恶意软件，并将该恶意软件管道到Python中执行。

建议

调查下载的URL。检查由Curl生成的Python进程生成的任何其他进程。如果该活动不是良性的或预期的，则考虑从已知的良好源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• Python - T1059.006
• 进入工具传输- T1105

描述

在/tmp内的隐藏文件或目录中查找进程的执行

建议

查看正在执行的二进制文件。

主教法冠ATT&CK技术

• 隐藏文件和目录- T1564.001

描述

该检测标识了fakeinit工具的使用，它是接管.sh的一个组件。接管.sh是一个工具，它允许运行中的系统在运行时重新安装Linux操作系统。

建议

检查主机上的活动并验证其是否被授权。如果该活动不是良性的或预期的，则考虑从已知的良好源重新构建主机，并让用户更改密码。

描述

该检测标识了用于与外部IP地址通信的fetch命令。在Linux妥协期间，恶意行为者使用fetch命令下载第二阶段的有效负载。

建议

调查正在被联系的IP地址和任何名为“fetch.txt”的文件的内容，因为这是fetch命令将写入的默认文件。检查生成该命令的父进程，以及该进程可能生成的任何其他内容。如果该活动不是良性的或预期的，则考虑从已知的良好源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 进入工具传输- T1105

描述

查找从用户主目录执行的具有隐藏文件名的进程。这种技术经常被攻击者使用后，试图隐藏硬币矿工或其他潜在的不受欢迎的程序。

建议

检查有问题的文件，看看它是否具有恶意性质。

描述

此检测使用linux dbus-send命令识别用户创建尝试。可以利用这个Linux漏洞通过polkit特权升级来获得根访问权。恶意行为者可以利用这一点来添加根用户，从而获得对系统的根访问权限。

建议

检查该活动是良性的或预期的。如果这不是预期的，考虑从一个已知的、良好的源代码重新构建主机，并让用户更改密码。还要检查是否有新的root用户被成功地利用了这个漏洞。

描述

此检测识别使用linux dbus-send命令的SetPassword尝试。可以利用这个Linux漏洞通过polkit特权升级来获得根访问权。恶意行为者可以利用这一点来添加根用户和设置密码，从而获得对系统的根访问权限。

建议

检查该活动是良性的或预期的。如果这不是预期的，考虑从一个已知的、良好的源代码重新构建主机，并让用户更改密码。还要检查是否有新的root用户被成功地利用了这个漏洞。

描述

此检测标识有人试图使用cat输出/etc目录中可能包含操作系统信息的文件内容。恶意参与者可能会这样做，以了解要针对的操作系统版本。RotaJakiro恶意软件在使用中观察到此命令。

建议

确定这是否是授权管理员活动的一部分。检查生成命令的父进程，以及该进程可能生成的任何其他内容。如果此活动不是良性的或预期的，考虑将主机从已知的、好的源重建，并让用户更改密码。

主教法冠ATT&CK技术

• 软件发现- T1518

描述

此检测识别LWP Download，这是一个用于从internet下载文件的Linux实用程序。恶意参与者可以使用LWP下载在Linux泄露期间下载第二阶段有效负载。

建议

检查命令运行和它联系的URL。检查生成该命令的父进程，以及该进程可能生成的任何其他内容。如果该活动不是良性的或预期的，则考虑从已知的良好源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 进入工具传输- T1105

描述

该检测标识了许多可以使用大多数内置Linux函数创建的反向shell。攻击者可能会将这些反向shell用于C2目的。

建议

检查生成shell的进程，以及shell进程可能生成的任何内容。如果此活动不是良性的或预期的，考虑将主机从已知的、好的源重建，并让用户更改密码。

主教法冠ATT&CK技术

• unixshell-T1059.004

描述

该检测将标识从管道输送到bash或另一个shell进程的WGet实用程序的输出。恶意行为者可能使用WGet下载额外的恶意软件，并将该恶意软件通过管道进行bash以执行。

建议

调查从下载的URL。检查WGet生成的bash进程生成的任何其他进程。如果此活动不是良性的或预期的，考虑将主机从已知的、好的源重建，并让用户更改密码。

主教法冠ATT&CK技术

• 进入工具传输- T1105

描述

该检测将标识从管道输送到Perl的WGet实用程序的输出。恶意行为者可能使用WGet下载额外的恶意软件，并将该恶意软件通过管道输送到Perl执行。

建议

调查下载的URL。检查由WGet生成的Perl进程所生成的任何其他进程。如果该活动不是良性的或预期的，则考虑从已知的良好源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 进入工具传输- T1105

描述

该检测将标识从管道输送到Python的WGet实用程序的输出。恶意行为者可能使用WGet下载额外的恶意软件，并将该恶意软件管道到Python中执行。

建议

调查下载的URL。检查由WGet派生的Python进程派生的任何其他进程。如果该活动不是良性的或预期的，则考虑从已知的良好源重新构建主机，并让用户更改密码。

主教法冠ATT&CK技术

• 进入工具传输- T1105

描述

标识用于从外部IP地址下载文件的wget实用程序。在基于linux的系统上，攻击者经常使用Wget在系统上站稳脚跟后部署其他工具。

建议

通过检查whois和dns记录来确定IP地址的性质。如果不存在从该IP地址下载的明显原因，请尝试获取并分析从该IP地址下载的文件。

主教法冠ATT&CK技术

• 进入工具传输- T1105