定義済みルール

01

シェル構成ファイルを変更

シェル構成ファイルの変更を試みる試行を検出します。

02

パッケージリポジトリを更新

パッケージリポジトリが更新されたときに検出します。

03

SSH情報を読む

SSHディレクトリ内のファイルを非SSHプログラムが読み取ろうとする試みを検出します。

04

Read sensitive file trusted after startup

信頼されたプログラムが起動後に機密ファイルを読み取ろうとする試みを検出します。信頼されたプログラムは起動時にこれらのファイルを読み取ることがありますが、その後は読み取ることはありません。

05

System user interactive

システム（非ログイン）ユーザによる対話型コマンドの実行試行を検出します。

06

Terminal shell in container

シェルコマンドまたはスクリプトが、ターミナルが接続されたコンテナへのエントリポイントまたは実行ポイントとして使用されたときに検出します。

07

System procs network activity

システムバイナリによって実行される、送受信が予期されないネットワークアクティビティを検出します。

08

Contact EC2 Instance Metadata Service From Container

コンテナからのEC2インスタンスメタデータサービスへの接続試行を検出します。

10

Launch Package Management Process in Container

パッケージ管理プロセスがコンテナ内で実行されているときに検出します。

11

Netcat Remote Code Execution in Container

コンテナ内でNetcatコマンドが実行されると、リモートコード実行が可能になることを検出します。

12

Clear Log Activities

重要なログファイルの変更または削除を検出します。

13

Create Symlink Over Sensitive Files

機密ファイルのシンボリックリンクが作成されたときに検出します。

14

Packet socket created in container

コンテナ内のデバイスドライバ（OSI L2）で新しいパケットソケットを検出します。パケットソケットは、攻撃者によってARPスプーフィングや権限昇格（CVE-2020-14386）に使用される可能性があります。

15

Redirect STDOUT/STDIN to Network Connection in Container

STDOUT/STDIN がコンテナ内のネットワーク接続にリダイレクトされるときに検出されます。これは潜在的なリバースシェルです。

N/A

16

Linux Kernel Module Injection Detected

コンテナからカーネルモジュールが注入されたときに検出します。

17

Sudo Potential Privilege Escalation

sudo (<= 1.9.5p2) に影響を与える特権昇格の脆弱性を検出します。特権のないユーザは、コマンドライン引数の末尾にバックスラッシュ文字を付けて sudoedit -s または sudoedit -i コマンドを実行することで、ユーザの特権を root に昇格させることができます。

18

Launch Remote File Copy Tools in Container

コンテナ内でリモートファイルコピーツールが起動されたときに検出します。

19

コンテナ内で特定のディスカバーツールが実行されました

コンテナ内での探索およびハッキングツールの実行を検出します。

20

Amicontained download detected in container

amicontainedツールがダウンロードされたときに検出します。

21

Disable Security Tools

特定のセキュリティツールを無効にしようとする試みを検出します。

22

コンテナ内で実行されたDockerまたはKubernetesクライアント

コンテナ内で docker または kubernetes クライアントツールが実行されたときに検出します。

23

Escape attempt detected in privileged container

コンテナ内でのデバッグおよびマウントの使用を検出します。

24

HugePages changed in container

XMRig使用中に行われたマイニング変更の一環としてHugePagesの変更を検出します。

25

Detect crypto miners using the Stratum protocol

マイナーは通常、接続するマイニングプールをURIで指定します

stratum+tcp

およびバリアント。

26

Schedule Cron Jobs

cronジョブがスケジュールされているかどうかを検出します。

27

Dynamic linker changed

変更を検出

/etc/ld.so.preload

ファイル。

28

DB program spawned process

DB関連のプログラムが自身以外の新しいプロセスを生成したときに検出します。SQLインジェクションが成功したことを示す可能性があります。

29

Lateral Movement using SSH

SSH実行を検出

StrictHostKeyChecking

およびバッチモード。スクリプト化された内部活動の試みを示すことができます。

30

Detect miner termination in container

コンテナ内でマイナーの終了を検出します。これは、競合するマイナーを終了させるマイナーを示す可能性があります。

31

Launch Privileged Container

特権コンテナで開始された初期プロセスを検出します。

32

Delete or rename shell history

シェル履歴が削除されたときに検出します。

33

File attributes changed in container

コンテナ内のファイルの属性を変更しようとする試みを検出します。

34

Set Setuid or Setgid bit

アプリケーションに対してsetuidまたはsetgidビットが設定されている場合、所有するユーザまたはグループの権限で実行されることを検出します。

35

Dangerous deletion detected in container

痕跡の削除中にファイルが削除されたときに検出します。

36

Possible IRC communication in container

既知のIRCポート（TCP/6667やTLS用のTCP/6697など）に基づく通信を検出します。

37

BOtB download detected in container

コンテナの複雑な分析およびエクスプロイトツールのダウンロードを検出します。

38

Peirates tool detected in container

コンテナの複雑な分析およびエクスプロイトツールのダウンロードを検出します。

39

Interpreted procs inbound network activity

Perl、Python、Rubyなどのインタープリタープログラムによって行われるすべての受信ネットワークアクティビティを検出します。

40

Interpreted procs outbound network activity

Perl、Python、Rubyなどのインタープリタープログラムによって実行されるすべてのアウトバウンドネットワークアクティビティを検出します。

41

Search Private Keys or Passwords

grep検索で秘密鍵やパスワードを検出し、findコマンドも含みます。

42

Unexpected process termination in container

特定のプロセスを取得して終了させようとする試みを検出します。これは、マイナーの展開やライバルの終了を示している可能性があります。

47

Suspicious log manipulation

重要なログファイルの標的型改ざんを検出します。

48

Switch Linux namespace

不正な setns システムコールの使用を検出し、コンテナのエスケープにつながる可能性があります。

49

Launch Ingress Remote File Copy Tools in Container

コンテナ内でリモートファイルコピーツールが起動されたときに検出します。

50

Execution from /dev/shm

からのファイル実行を検出

/dev/shm

ディレクトリは、脅威アクターがファイルを隠すための一般的な手法です。

51

Find AWS Credentials

find または grep コマンドが AWS 認証情報にアクセスしようとしていることを検出します。

52

PTRACE attached to process

PTRACEを使用してプロセスにコードを注入しようとする試みを検出します。

53

Create Hidden Files or Directories

隠しファイルおよびディレクトリの作成を検出します。

54

Mkdir binary dirs

バイナリディレクトリのセットの下にディレクトリを作成しようとする試みを検出します。

55

Modify binary dirs

バイナリディレクトリのセット以下のファイルを変更しようとする試みを検出します。

56

Polkit Local Privilege Escalation

Polkitのpkexecにおける権限昇格の脆弱性を悪用しようとする試みを検出します。

57

Write below rpm database

rpm データベースへの書き込みを試みる rpm 関連以外のプログラムを検出します。

58

Increase Resource Limits via Prlimit Command in Container

prlimitコマンドがシステム全体のリソースの制限を設定またはReportsする時を検出します。

59

A Local User Added in Container

コンテナ内でユーザアカウントの作成を検出します。

60

A Local User Deleted in Container

コンテナ内のユーザアカウントの削除を検出します。

61

Write to Selinux Config

コンテンツを書き込もうとする試みを検出します

/etc/selinux/config

ファイル。

62

Create Scheduled Task Using At

63

Create Scheduled Task Using Systemd Timers

Systemdタイマーが初回または定期的なコード実行のためのタスクスケジューリングに使用されていることを検出します。

64

Write to System Control

コンテンツを書き込もうとする試みを検出します

/etc/syscl.conf 

ファイル。

68

Python urllib Import Command Execution

検出時

import urllib

または

import urllib2

コマンドはPythonまたはPython 3で実行されます。

N/A

83

File Executed from Memory

プロセスに悪意のあるペイロードの実行を隠すためにリフレクティブコードがロードされたときに検出します。リフレクティブロードは、プロセスのメモリ内に直接ペイロードを割り当てて実行することを含みます。

84

Inject File to Process Memory Virtual Space

敵対者がプロセスベースの防御を回避し、特権を昇格させるために /proc ファイルシステムを使用してプロセスに悪意のあるコードを注入する場合を検出します。Proc メモリ注入は、別のライブプロセスのアドレス空間で任意のコードを実行する方法です。

89

Suspicious Directory Change via ProcFD

プロセスがprocベースのファイルディスクリプタを使用して作業ディレクトリを変更しようとする試みを検出します。これは、CVE-2024-21626の可能な痕跡です。

N/A

93

Grep Search on Shell Configuration File

シェル構成ファイルを検索しようとする試行を検出します。

N/A

96

Vulnerable liblzma loaded into sshd

脆弱なliblzma、liblzma.so.5.6.0、またはliblzma.so.5.6.1ライブラリがロードされたときに検出します

N/A

97

Iptablesの変更

コマンド実行を使用してiptablesサービスが変更されたときに検出します。

N/A