以下表格列出了您可以添加到規則集中的規則,包括這些規則旨在防止的攻擊技術描述,以及指向MITRE ATT&CK網站以獲取更多詳細信息的鏈接。
|
ID
|
名稱
|
詳細資訊
|
Mitre 連結
|
|
01
|
修改 Shell 組態設定檔
|
偵測修改 Shell 組態設定檔案的嘗試。
|
|
|
02
|
更新套件庫
|
偵測套件庫更新時。
|
|
|
03
|
讀取 SSH 資訊
|
偵測任何非 SSH 程式嘗試讀取 SSH 目錄中的檔案。
|
|
|
04
|
啟動後信任讀取敏感文件
|
偵測信任的程式在啟動後嘗試讀取任何敏感文件的行為。信任的程式可能會在啟動時讀取這些文件,但不會在之後讀取。
|
|
|
05
|
系統使用者互動
|
偵測系統(非登入)使用者嘗試執行互動命令。
|
|
|
06
|
容器中的終端機殼層
|
檢測到使用 shell 命令或腳本作為進入點或執行點進入具有附加終端的容器。
|
|
|
07
|
系統處理網路活動
|
偵測系統二進位檔案執行的網路活動,這些檔案不應該發送或接收任何網路流量。
|
|
|
08
|
從容器聯繫 EC2 實例中繼資料服務
|
偵測從容器嘗試聯繫 EC2 實例中繼資料服務的行為。
|
|
|
10
|
在容器中啟動套件管理過程
|
偵測到在容器內執行的套件管理過程。
|
|
|
11
|
Netcat 容器中的遠端代碼執行
|
偵測在容器內執行 Netcat 命令的情況,這可能允許遠端代碼執行。
|
|
|
12
|
清除日誌活動
|
檢測關鍵日誌檔案的修改或刪除。
|
|
|
13
|
在敏感文件上建立符號連結
|
檢測到為敏感文件創建符號連結時。
|
|
|
14
|
在容器中創建的數據包套接字
|
偵測容器中裝置驅動程式 (OSI L2) 的新封包插槽。攻擊者可以利用封包插槽進行 ARP 欺騙和權限升級 (CVE-2020-14386)。
|
|
|
15
|
將 STDOUT/STDIN 重新導向至容器中的網路連線
|
偵測到 STDOUT/STDIN 被重新導向至容器中的網路連線,這可能是潛在的反向殼。
|
不適用
|
|
16
|
偵測到 Linux 核心模組注入
|
偵測到從容器注入核心模組時。
|
|
|
17
|
Sudo 潛在權限升級
|
檢測影響 sudo (<= 1.9.5p2) 的權限升級弱點。未授權的使用者可以通過使用
sudoedit -s 或 sudoedit -i 命令並帶有以單個反斜杠字符結尾的命令行參數來提升使用者權限至 root。 |
|
|
18
|
在容器中啟動遠端檔案複製工具
|
偵測到在容器中啟動遠端檔案複製工具時。
|
|
|
19
|
在容器中執行特定的發現工具
|
偵測容器內部的探索和駭客工具執行。
|
|
|
20
|
在容器中檢測到 Amicontained 下載
|
檢測到下載了 amicontained 工具。
|
|
|
21
|
關閉安全工具
|
偵測關閉特定安全工具的嘗試。
|
|
|
22
|
在容器中執行的 Docker 或 Kubernetes 客戶端
|
偵測在容器內執行 docker 或 kubernetes 客戶端工具的情況。
|
|
|
23
|
在特權容器中檢測到逃逸嘗試
|
偵測容器中調試和掛載的使用情況。
|
|
|
24
|
容器中的HugePages已更改
|
檢測到在使用 XMRig 期間進行的挖礦更改中修改了 HugePages。
|
|
|
25
|
檢測使用 Stratum 通訊協定的加密貨幣挖礦程式
|
礦工通常使用以 URI 開頭的挖礦池來指定要連接的對象
stratum+tcp及變種。 |
|
|
26
|
排程 Cron 工作
|
檢測何時排程 cron 工作。
|
|
|
27
|
動態連結器已更改
|
偵測到對
/etc/ld.so.preload檔案. |
|
|
28
|
DB 程式產生的進程
|
檢測到與資料庫相關的程式產生了一個新的進程。這可能表示成功的 SQL 注入。
|
|
|
29
|
使用 SSH 的橫向移動
|
檢測到 SSH 執行
StrictHostKeyChecking和批處理模式。可以指示腳本化的橫向移動嘗試。 |
|
|
30
|
偵測容器中的礦工終止
|
偵測到容器中的挖礦程式終止,這可能表示挖礦程式終止了競爭對手的挖礦程式。
|
|
|
31
|
啟動特權容器
|
偵測在特權容器中啟動的初始進程。
|
|
|
32
|
刪除或重新命名 shell 歷史記錄
|
檢測到刪除 shell 歷史記錄。
|
|
|
33
|
容器中的檔案屬性已更改
|
偵測嘗試更改容器中檔案屬性的行為。
|
|
|
34
|
設置 Setuid 或 Setgid 位元
|
檢測應用程式是否設置了setuid或setgid位元,這將使其以擁有者用戶或群組的權限運行。
|
|
|
35
|
在容器中檢測到危險刪除
|
偵測在指標移除期間檔案被刪除的情況。
|
|
|
36
|
容器中可能的 IRC 通訊
|
檢測基於已知 IRC 埠的通信,例如 TCP/6667 或 TCP/6697 用於 TLS。
|
|
|
37
|
在容器中檢測到 BOtB 下載
|
檢測容器的複雜分析和利用工具的下載。
|
|
|
38
|
在容器中檢測到 Peirates 工具
|
檢測容器的複雜分析和利用工具的下載。
|
|
|
39
|
解釋處理程序輸入網路活動
|
檢測任何由解釋型程式(如 Perl、Python 和 Ruby)執行的任何輸入網路活動。
|
|
|
40
|
解釋的程序輸出網路活動
|
檢測任何由解釋型程式(如 Perl、Python 和 Ruby)執行的任何輸出網路活動。
|
|
|
41
|
搜尋私密金鑰或密碼
|
檢測 grep 搜尋私密金鑰或密碼,包括 find 命令。
|
|
|
42
|
容器中發生意外的處理程序終止
|
偵測嘗試獲取特定進程並終止它們的行為,這可能表示礦工的部署和競爭對手的終止。
|
|
|
47
|
可疑日誌操作
|
偵測針對關鍵日誌文件的修改。
|
|
|
48
|
切換 Linux 命名空間
|
檢測未經授權使用 setns 系統調用,這可能導致容器逃逸。
|
|
|
49
|
在容器中啟動 Ingress 遠端檔案複製工具
|
偵測容器中啟動的入口遠端文件複製工具。
|
|
|
50
|
從 /dev/shm 執行
|
偵測到檔案執行來自
/dev/shm目錄,這是安全威脅行為者藏匿其文件的常見策略。 |
|
|
51
|
查找 AWS 憑證
|
偵測嘗試存取 AWS 憑證的 find 或 grep 命令。
|
|
|
52
|
PTRACE 已附加到進程
|
偵測使用 PTRACE 將程式碼注入進程的嘗試。
|
|
|
53
|
建立隱藏檔案或目錄
|
偵測隱藏檔案和目錄的建立。
|
|
|
54
|
建立二進位目錄
|
偵測嘗試在一組二進位目錄下創建目錄的行為。
|
|
|
55
|
修改二進位目錄
|
檢測嘗試修改任何二進位目錄下的檔案。
|
|
|
56
|
Polkit 本地權限升級
|
檢測嘗試利用 Polkit 的 pkexec 權限升級弱點的行為。
|
|
|
57
|
寫入以下 rpm 資料庫
|
偵測任何與 rpm 無關的程式嘗試寫入 rpm 資料庫的行為。
|
|
|
58
|
通過 Prlimit 命令增加容器的資源限制
|
檢測 prlimit 命令設定或報告系統範圍資源限制的情況。
|
|
|
59
|
在容器中新增本地使用者
|
偵測容器中使用者帳號的建立。
|
|
|
60
|
在容器中刪除了本地使用者
|
偵測到容器中使用者帳號的刪除。
|
|
|
61
|
寫入 Selinux 配置
|
偵測嘗試將內容寫入
/etc/selinux/config檔案. |
|
|
62
|
使用 At 創建排程任務
|
偵測到
at該工具用於執行任務排程,以便初次或定期執行程式碼。 |
|
|
63
|
使用 Systemd 計時器建立排程任務
|
檢測何時使用 Systemd 計時器來執行初始或重複執行程式碼的任務排程。
|
|
|
64
|
寫入系統控制
|
偵測嘗試將內容寫入
/etc/syscl.conf檔案. |
|
|
68
|
Python urllib 匯入命令執行
|
偵測到
import urllib或 import urllib2命令在 Python 或 Python 3 中運行。 |
不適用
|
|
83
|
從記憶體執行的檔案
|
檢測反射性代碼何時被加載到進程中以隱藏惡意有效載荷的執行。反射性加載涉及在進程的內存中直接分配和執行有效載荷。
|
|
|
84
|
將檔案注入至程序記憶體虛擬空間
|
檢測對手何時使用 /proc 檔案系統將惡意程式碼注入進程,以避開基於進程的防禦並可能提升權限。Proc 記憶體注入是一種在單獨的活動進程的地址空間中執行任意程式碼的方法。
|
|
|
89
|
通過 ProcFD 的可疑目錄變更
|
檢測到進程嘗試使用基於 proc 的文件描述符更改工作目錄,這可能是 CVE-2024-21626 的指標。
|
不適用
|
|
93
|
在 Shell 組態設定檔上進行 Grep 搜尋
|
偵測嘗試搜尋 Shell 組態設定檔案的行為。
|
不適用
|
|
96
|
易受攻擊的 liblzma 已載入 sshd
|
檢測到載入了易受攻擊的 liblzma、liblzma.so.5.6.0 或 liblzma.so.5.6.1 庫
|
不適用
|
|
97
|
Iptables 修改
|
檢測到使用命令執行修改了 iptables 服務。
|
不適用
|