使用ee-outliers和Elasticsearch检测可疑子进程

2024-03-06 06:58

本文主要是介绍使用ee-outliers和Elasticsearch检测可疑子进程,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

通过 ee-outliers 检测可疑子进程也是检测端点恶意活动一种非常有效的方法,例如:

检测调用 cmd.exe 的恶意 Microsoft Word 文档

检测电子邮件内嵌的 0-day exploit 在 Outlook 中利用 PowerShell

收集正确的数据

我们依赖于 osquery 来收集端点数据,使用以下查询定期收集有关我们要监控的工作站与服务器的所有信息。

SELECT p.*, h.*, u.username, u.type as usertype, pp.name as parentname, pp.cmdline as parentcmdline FROM processes p LEFT JOIN users u ON p.uid = u.uid LEFT JOIN processes pp ON p.parent = pp.pid LEFT JOIN hash as h ON p.path = h.path;

该查询将会结合进程执行的几个数据点,包括用户、进程、父进程名、PID 与 PPID 等。使用这些信息,来寻找可疑的子进程启动。

构建检测用例

在配置文件中定义如下内容:

##############################
# TERMS - RARELY SEEN CHILD PROCESS
##############################
# detect processes with rare children
[terms_rare_childname]
es_query_filter=tags:endpoint AND meta.command.name:"get_all_processes_enriched" AND _exists_:OsqueryFilter.name AND _exists_:OsqueryFilter.parentname AND NOT OsqueryFilter.parentname.raw:""aggregator=OsqueryFilter.parentname
target= OsqueryFilter.name
target_count_method=within_aggregator
trigger_on=low
trigger_method=pct_of_avg_value
trigger_sensitivity=1outlier_type=process execution
outlier_reason=rare child process
outlier_summary=rare child process {OsqueryFilter.name} for {OsqueryFilter.parentname}run_model=1
test_model=0

该配置解释如下:

es_query_filter 过滤 Elasticsearch 事件信息中所有我们想要的进程信息,排除掉所有没有父进程信息的事件

aggregator 根据字段 OsqueryFilter.parentname 创建每个进程的父进程的事件的 buckets

对每个 aggregator 使用字段 OsqueryFilter.name 将特定子进程名出现的总次数计为 target 字段

如果生成的进程平均计数不到 1% 会触发一个异常值(如果 cmd.exe 仅在 adobe.exe 中生成一次,并且所有由 adobe.exe 生成的进程平均计数为 200,则 cmd.exe 的次数为 1 小于 200 的 1% 次,将被标记为异常值)中国菜刀

运行 ee-outliers

接下来在测试环境中最近七天事件中使用 ee-outliers,测试环境中有 50 个工作站,共产生 632788 个进程执行事件

分析结果

首先在直方图中绘制异常事件,ee-outliers 为每个异常值添加了置信度参数,从而标定事件从用例处理的其他事件转移的程度。

过去的七天中,一共发现 94 个异常值,大约六十万个事件,这意味着大约 0.015% 的进程事件都是异常的。听起来像是可以依靠手动分析处理的。但是为了得到这个结果,确实还要将以下内容添加到异常值配置文件中作为白名单,减少误报。天空彩

rare_child_svchost=^.*rare child process .* for svchost\.exe.*$
rare_child_services=^.*rare child process .* for services\.exe.*$

由 ee-outliers 判断的异常摘要如下:

罕见的从 chrome.exe 调用 cmd.exe 的情况

这个事件立刻引起的分析师的注意,为什么 Chrome 会调用 cmd.exe?查看更多详细信息后,注意到是执行如下命令。二四六

C:\windows\system32\cmd.exe /d /c 
"C:\Users\CENSORED\AppData\Local\1password\app\7\\1Password.exe" 
chrome-extension://aomjjhallfgjeglCENSORED/ --parent-window=0 
< \\.\pipe\chrome.nativeMessaging.in.ced1670e4c8e503c > 
\\.\pipe\chrome.nativeMessaging.out.ced1670e4c8e503c

可以发现,这是使用 cmd.exe 调用 1Password.exe 程序的 1Password Chrome 扩展程序。这不是恶意活动,但也不是误报,确实是罕见的活动类型。

罕见的从 chrome.exe 调用 7zFM.exe 的情况

与前一个类似,这是 Chrome 调用 7zip 文件管理程序自动提取下载的 ZIP 文件。

罕见的从 explorer.exe 调用 TightVNCViewerPortable.exe 的情况

explorer.exe 是 Windows 上许多进程的父进程,这个场景下,客户使用便携式 VNC 客户端远程连接到工作站。由于这个便携式 VNC 客户端并不是工作站上允许使用的软件的一部分,因此被标记了。因为它很少被观察到从 explorer.exe 中生成(在我们的定义中,不超过 1%)。与此类似的包括“罕见的从 explorer.exe 调用 PremierColor.exe” 与 “罕见的从 explorer.exe 调用 SUMo.exe”。

结论

在这篇文章中介绍了如何使用 ee-outliers 发现可疑的子进程,然后可以进一步分析恶意活动。如违反公司政策(运行未经批准的软件)、运行受感染的文档(Office 文档产生的可疑进程)以及未知攻击等异常活动都可以被识别。

这篇关于使用ee-outliers和Elasticsearch检测可疑子进程的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/779207

相关文章

基于MySQL Binlog的Elasticsearch数据同步实践

一、为什么要做 随着马蜂窝的逐渐发展,我们的业务数据越来越多,单纯使用 MySQL 已经不能满足我们的数据查询需求,例如对于商品、订单等数据的多维度检索。 使用 Elasticsearch 存储业务数据可以很好的解决我们业务中的搜索需求。而数据进行异构存储后,随之而来的就是数据同步的问题。 二、现有方法及问题 对于数据同步,我们目前的解决方案是建立数据中间表。把需要检索的业务数据,统一放到一张M

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

Makefile简明使用教程

文章目录 规则makefile文件的基本语法:加在命令前的特殊符号:.PHONY伪目标: Makefilev1 直观写法v2 加上中间过程v3 伪目标v4 变量 make 选项-f-n-C Make 是一种流行的构建工具,常用于将源代码转换成可执行文件或者其他形式的输出文件(如库文件、文档等)。Make 可以自动化地执行编译、链接等一系列操作。 规则 makefile文件

使用opencv优化图片(画面变清晰)

文章目录 需求影响照片清晰度的因素 实现降噪测试代码 锐化空间锐化Unsharp Masking频率域锐化对比测试 对比度增强常用算法对比测试 需求 对图像进行优化,使其看起来更清晰,同时保持尺寸不变,通常涉及到图像处理技术如锐化、降噪、对比度增强等 影响照片清晰度的因素 影响照片清晰度的因素有很多,主要可以从以下几个方面来分析 1. 拍摄设备 相机传感器:相机传

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

pdfmake生成pdf的使用

实际项目中有时会有根据填写的表单数据或者其他格式的数据,将数据自动填充到pdf文件中根据固定模板生成pdf文件的需求 文章目录 利用pdfmake生成pdf文件1.下载安装pdfmake第三方包2.封装生成pdf文件的共用配置3.生成pdf文件的文件模板内容4.调用方法生成pdf 利用pdfmake生成pdf文件 1.下载安装pdfmake第三方包 npm i pdfma

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

烟火目标检测数据集 7800张 烟火检测 带标注 voc yolo

一个包含7800张带标注图像的数据集,专门用于烟火目标检测,是一个非常有价值的资源,尤其对于那些致力于公共安全、事件管理和烟花表演监控等领域的人士而言。下面是对此数据集的一个详细介绍: 数据集名称:烟火目标检测数据集 数据集规模: 图片数量:7800张类别:主要包含烟火类目标,可能还包括其他相关类别,如烟火发射装置、背景等。格式:图像文件通常为JPEG或PNG格式;标注文件可能为X