Vordefinierte Regeln

01

Shell-Konfigurationsdatei ändern

Erkennt Versuche, Shell-Konfigurationsdateien zu ändern.

02

Paket-Repository aktualisieren

Erkennt, wenn Paket-Repositories aktualisiert werden.

03

SSH-Informationen lesen

Erkennt jeden Versuch, Dateien in SSH-Verzeichnissen von Nicht-SSH-Programmen zu lesen.

04

Vertraute sensible Datei nach dem Start lesen

Erkennt Versuche, eine vertrauliche Datei von einem vertrauenswürdigen Programm nach dem Start zu lesen. Vertrauenswürdige Programme könnten diese Dateien beim Start lesen, aber nicht danach.

05

Systembenutzer interaktiv

Erkennt Versuche, interaktive Befehle von einem Systembenutzer (kein Login) auszuführen.

06

Terminal-Shell im Container

Erkennt, wenn ein Shell-Befehl oder Skript als Einstiegspunkt oder Ausführungspunkt in einen Container mit angeschlossenem Terminal verwendet wurde.

07

Systemprozesse Netzwerkaktivität

Erkennt Netzwerkaktivitäten, die von System-Binärdateien ausgeführt werden, die normalerweise keine Netzwerkkommunikation senden oder empfangen.

08

Kontaktieren Sie den EC2-Instanz-Metadaten-Dienst vom Container

Erkennt Versuche, den EC2 Instance Metadata Service von einem Container aus zu kontaktieren.

10

Starten Sie den Paketverwaltungsprozess im Container

Erkennt, wenn ein Paketverwaltungsprozess innerhalb eines Containers ausgeführt wird.

11

Netcat Remote-Code-Ausführung im Container

Erkennt, wenn Netcat-Befehle in einem Container ausgeführt werden, was die Ausführung von Remote-Code ermöglicht.

12

Protokollaktivitäten löschen

Erkennt die Änderung oder Entfernung kritischer Protokolldateien.

13

Symlink über sensible Dateien erstellen

Erkennt, wenn ein Symlink für eine sensible Datei erstellt wird.

14

Paket-Socket im Container erstellt

Erkennt neue Paketsockets beim Gerätetreiber (OSI L2) in einem Container. Paketsockets können von einem Angreifer für ARP-Spoofing und Rechteausweitung (CVE-2020-14386) verwendet werden.

15

STDOUT/STDIN auf Netzwerkverbindung im Container umleiten

Erkennt, wenn STDOUT/STDIN in einer Container-Netzwerkverbindung umgeleitet wird, was auf eine potenzielle Reverse-Shell hinweist.

N/A

16

Erkennung der Injektion eines Linux-Kernel-Moduls

Erkennt, wenn ein Kernel-Modul aus einem Container injiziert wurde.

17

Sudo Potenzielle Rechteausweitung

Erkennt Rechteausweitungsschwachstellen, die sudo (<= 1.9.5p2) betreffen. Unprivilegierte Benutzer können die Benutzerrechte auf root erhöhen, indem sie sudo mit dem sudoedit -s oder sudoedit -i-Befehl ausführen, wobei ein Befehlszeilenargument verwendet wird, das mit einem einzelnen Rückstrich endet.

18

Remote-Dateikopierwerkzeuge im Container starten

Erkennt, wenn Tools zum Kopieren von Dateien aus der Ferne in einem Container gestartet werden.

19

Spezifisches Erkennungstool im Container ausgeführt

Erkennt die Ausführung von Erkennungs- und Hacker-Tools innerhalb eines Containers.

20

Amicontained-Download in Container erkannt

Erkennt, wenn ein Amicontained-Tool heruntergeladen wird.

21

Sicherheitstools deaktivieren

Erkennt Versuche, bestimmte Sicherheitstools zu deaktivieren.

22

Docker- oder Kubernetes-Client im Container ausgeführt

Erkennt, wenn ein Docker- oder Kubernetes-Client-Tool innerhalb eines Containers ausgeführt wird.

23

Fluchtversuch in privilegiertem Container erkannt

Erkennt die Verwendung von Debugs und Mounts in einem Container.

24

HugePages im Container geändert

Erkennt Änderungen an HugePages als Teil der Mining-Änderungen, die während der Nutzung von XMRig vorgenommen wurden.

25

Erkennen Sie Krypto-Miner, die das Stratum-Protokoll verwenden

Miner geben in der Regel den Mining-Pool an, mit dem sie sich verbinden möchten, indem sie eine URI verwenden, die mit

stratum+tcp

und Varianten.

26

Cron-Jobs planen

Erkennt, wenn Cron-Jobs geplant sind.

27

Dynamischer Linker geändert

Erkennt Änderungen an einem

/etc/ld.so.preload

Datei.

28

DB-Programm hat einen Prozess gestartet

Erkennt, wenn ein datenbankbezogenes Programm einen neuen Prozess startet, der nicht zu ihm selbst gehört. Kann auf eine erfolgreiche SQL-Injektion hinweisen.

29

Seitliche Verschiebung mit SSH

Erkennt SSH-Ausführung mit

StrictHostKeyChecking

und Batch-Modus. Kann auf einen skriptgesteuerten lateralen Bewegungsversuch hinweisen.

30

Erkennung der Beendigung des Miners im Container

Erkennt das Beenden eines Miners in einem Container, was darauf hindeuten kann, dass ein Miner einen konkurrierenden Miner beendet.

31

Privilegierten Container starten

Erkennt den initialen Prozess, der in einem privilegierten Container gestartet wurde.

32

Shell-Verlauf löschen oder umbenennen

Erkennt, wenn ein Shell-Verlauf gelöscht wird.

33

Dateiattribute im Container geändert

Erkennt Versuche, Attribute einer Datei in einem Container zu ändern.

34

Setzen des Setuid- oder Setgid-Bits

Erkennt, wenn die setuid- oder setgid-Bits für eine Anwendung gesetzt sind, die mit den Rechten des besitzenden Benutzers oder der Gruppe ausgeführt wird.

35

Gefährliches Löschen im Container erkannt

Erkennt, wenn eine Datei während der Indikatorentfernung gelöscht wird.

36

Mögliche IRC-Kommunikation im Container

Erkennt Kommunikation basierend auf einem bekannten IRC-Port, wie TCP/6667 oder TCP/6697 für TLS.

37

BOtB-Download im Container erkannt

Erkennt Downloads von komplexen Analyse- und Exploitation-Tools für Container.

38

Peirates-Tool im Container erkannt

Erkennt Downloads von komplexen Analyse- und Exploitation-Tools für Container.

39

Interpretierte Prozesse eingehende Netzwerkaktivität

Erkennt jegliche eingehende Netzwerkaktivität, die von einem interpretierten Programm wie Perl, Python und Ruby ausgeführt wird.

40

Interpretierte Prozesse ausgehende Netzwerkaktivität

Erkennt jegliche ausgehende Netzwerkaktivität, die von einem interpretierten Programm wie Perl, Python und Ruby ausgeführt wird.

41

Private Schlüssel oder Passwörter suchen

Erkennt grep-Suchen nach privaten Schlüsseln oder Passwörtern, einschließlich des find-Befehls.

42

Unerwartete Prozessbeendigung im Container

Erkennt Versuche, bestimmte Prozesse zu erfassen und zu beenden, was auf die Bereitstellung eines Miners und die Beendigung eines Rivalen hinweisen kann.

47

Verdächtige Protokollmanipulation

Erkennt gezielte Änderungen an kritischen Logdateien.

48

Linux-Namespace wechseln

Erkennt die unbefugte Nutzung von setns-Systemaufrufen, die zu einem Container-Ausbruch führen könnte.

49

Starten Sie Ingress Remote File Copy Tools im Container

Erkennt, wenn eingehende Remote-Dateikopierwerkzeuge in einem Container gestartet werden.

50

Ausführung von /dev/shm

Erkennt Dateiausführung aus der

/dev/shm

Verzeichnis, das eine gängige Taktik für Bedrohungsakteure ist, um ihre Dateien zu verstecken.

51

AWS-Anmeldedaten finden

Erkennt find- oder grep-Befehle, die versuchen, auf AWS-Anmeldedaten zuzugreifen.

52

PTRACE an Prozess angehängt

Erkennt Versuche, Code in einen Prozess mithilfe von PTRACE einzuschleusen.

53

Versteckte Dateien oder Verzeichnisse erstellen

Erkennt die Erstellung von versteckten Dateien und Verzeichnissen.

54

Binärverzeichnisse erstellen

Erkennt Versuche, ein Verzeichnis unterhalb eines Satzes von Binärverzeichnissen zu erstellen.

55

Binärverzeichnisse ändern

Erkennt Versuche, Dateien in einem Satz von Binärverzeichnissen zu ändern.

56

Polkit lokale Rechteausweitung

Erkennt Versuche, eine Rechteausweitung-Sicherheitslücke in Polkits pkexec auszunutzen.

57

Schreibe unten RPM-Datenbank

Erkennt Versuche, in die RPM-Datenbank durch ein nicht mit RPM verbundenes Programm zu schreiben.

58

Erhöhen Sie die Ressourcenlimits über den Prlimit-Befehl im Container

Erkennt, wenn der Befehl prlimit die Grenzen systemweiter Ressourcen festlegt oder meldet.

59

Ein lokaler Benutzer im Container hinzugefügt

Erkennt die Erstellung eines Benutzerkontos in einem Container.

60

Ein lokaler Benutzer wurde im Container gelöscht

Erkennt die Löschung eines Benutzerkontos in einem Container.

61

In Selinux-Konfiguration schreiben

Erkennt Versuche, Inhalte auf die

/etc/selinux/config

Datei.

62

Geplante Aufgabe mit At erstellen

63

Geplante Aufgabe mit Systemd-Timern erstellen

Erkennt, wenn Systemd-Timer zur Aufgabenplanung für die anfängliche oder wiederkehrende Ausführung von Code verwendet werden.

64

In die Systemsteuerung schreiben

Erkennt Versuche, Inhalte auf die

/etc/syscl.conf 

Datei.

68

Python urllib Import-Befehlsausführung

Erkennt, wenn der

import urllib

oder

import urllib2

Befehl wird in Python oder Python 3 ausgeführt.

N/A

83

Datei aus dem Speicher ausgeführt

Erkennt, wenn reflektiver Code in einen Prozess geladen wird, um die Ausführung bösartiger Nutzlasten zu verbergen. Reflektives Laden beinhaltet das Zuweisen und Ausführen von Nutzlasten direkt im Speicher des Prozesses.

84

Datei in den virtuellen Speicherbereich des Prozesses einfügen

Erkennt, wenn Gegner bösartigen Code in Prozesse injizieren, indem sie das /proc-Dateisystem verwenden, um prozessbasierte Abwehrmechanismen zu umgehen und möglicherweise Privilegien zu erhöhen. Die Proc-Speicherinjektion ist eine Methode zur Ausführung von beliebigem Code im Adressraum eines separaten laufenden Prozesses.

89

Verdächtige Verzeichnisänderung über ProcFD

Erkennt Prozessversuche, das Arbeitsverzeichnis mithilfe eines prozessorbasierten Dateideskriptors zu ändern, was ein möglicher CVE-2024-21626-Indikator ist.

N/A

93

Grep-Suche in der Shell-Konfigurationsdatei

Erkennt Versuche, eine Shell-Konfigurationsdatei zu durchsuchen.

N/A

96

Verwundbare liblzma in sshd geladen

Erkennt, wenn eine anfällige liblzma, liblzma.so.5.6.0 oder liblzma.so.5.6.1 Bibliothek geladen wird in

N/A

97

Iptables-Änderung

Erkennt, wenn der iptables-Dienst durch eine Befehlsausführung geändert wird.

N/A