歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

使用ee-outliers和Elasticsearch檢測可疑子進程

來源:本站整理 作者:佚名 時間:2019-05-29 TAG: 我要投稿


通過 ee-outliers 檢測可疑子進程也是檢測端點惡意活動一種非常有效的方法,例如:
檢測調用 cmd.exe 的惡意 Microsoft Word 文檔
檢測電子郵件內嵌的 0-day exploit 在 Outlook 中利用 PowerShell
收集正確的數據
我們依賴于 osquery 來收集端點數據,使用以下查詢定期收集有關我們要監控的工作站與服務器的所有信息。
SELECT p.*, h.*, u.username, u.type as usertype, pp.name as parentname, pp.cmdline as parentcmdline FROM processes p LEFT JOIN users u ON p.uid = u.uid LEFT JOIN processes pp ON p.parent = pp.pid LEFT JOIN hash as h ON p.path = h.path;
該查詢將會結合進程執行的幾個數據點,包括用戶、進程、父進程名、PID 與 PPID 等。使用這些信息,來尋找可疑的子進程啟動。
構建檢測用例
在配置文件中定義如下內容:
##############################
# TERMS - RARELY SEEN CHILD PROCESS
##############################
# detect processes with rare children
[terms_rare_childname]
es_query_filter=tags:endpoint AND meta.command.name:"get_all_processes_enriched" AND _exists_:OsqueryFilter.name AND _exists_:OsqueryFilter.parentname AND NOT OsqueryFilter.parentname.raw:""
aggregator=OsqueryFilter.parentname
target= OsqueryFilter.name
target_count_method=within_aggregator
trigger_on=low
trigger_method=pct_of_avg_value
trigger_sensitivity=1
outlier_type=process execution
outlier_reason=rare child process
outlier_summary=rare child process {OsqueryFilter.name} for {OsqueryFilter.parentname}
run_model=1
test_model=0
該配置解釋如下:
es_query_filter 過濾 Elasticsearch 事件信息中所有我們想要的進程信息,排除掉所有沒有父進程信息的事件
aggregator 根據字段 OsqueryFilter.parentname 創建每個進程的父進程的事件的 buckets
對每個 aggregator 使用字段 OsqueryFilter.name 將特定子進程名出現的總次數計為 target 字段
如果生成的進程平均計數不到 1% 會觸發一個異常值(如果 cmd.exe 僅在 adobe.exe 中生成一次,并且所有由 adobe.exe 生成的進程平均計數為 200,則 cmd.exe 的次數為 1 小于 200 的 1% 次,將被標記為異常值)
運行 ee-outliers
接下來在測試環境中最近七天事件中使用 ee-outliers,測試環境中有 50 個工作站,共產生 632788 個進程執行事件

分析結果
首先在直方圖中繪制異常事件,ee-outliers 為每個異常值添加了置信度參數,從而標定事件從用例處理的其他事件轉移的程度。

過去的七天中,一共發現 94 個異常值,大約六十萬個事件,這意味著大約 0.015% 的進程事件都是異常的。聽起來像是可以依靠手動分析處理的。但是為了得到這個結果,確實還要將以下內容添加到異常值配置文件中作為白名單,減少誤報。
rare_child_svchost=^.*rare child process .* for svchost\.exe.*$
rare_child_services=^.*rare child process .* for services\.exe.*$
由 ee-outliers 判斷的異常摘要如下:

罕見的從 chrome.exe 調用 cmd.exe 的情況
這個事件立刻引起的分析師的注意,為什么 Chrome 會調用 cmd.exe?查看更多詳細信息后,注意到是執行如下命令。
C:\windows\system32\cmd.exe /d /c
"C:\Users\CENSORED\AppData\Local\1password\app\7\\1Password.exe"
chrome-extension://aomjjhallfgjeglCENSORED/ --parent-window=0
in.ced1670e4c8e503c >
\\.\pipe\chrome.nativeMessaging.out.ced1670e4c8e503c
可以發現,這是使用 cmd.exe 調用 1Password.exe 程序的 1Password Chrome 擴展程序。這不是惡意活動,但也不是誤報,確實是罕見的活動類型。
罕見的從 chrome.exe 調用 7zFM.exe 的情況
與前一個類似,這是 Chrome 調用 7zip 文件管理程序自動提取下載的 ZIP 文件。
罕見的從 explorer.exe 調用 TightVNCViewerPortable.exe 的情況
explorer.exe 是 Windows 上許多進程的父進程,這個場景下,客戶使用便攜式 VNC 客戶端遠程連接到工作站。由于這個便攜式 VNC 客戶端并不是工作站上允許使用的軟件的一部分,因此被標記了。因為它很少被觀察到從 explorer.exe 中生成(在我們的定義中,不超過 1%)。與此類似的包括“罕見的從 explorer.exe 調用 PremierColor.exe” 與 “罕見的從 explorer.exe 調用 SUMo.exe”。
結論
在這篇文章中介紹了如何使用 ee-outliers 發現可疑的子進程,然后可以進一步分析惡意活動。如違反公司政策(運行未經批準的軟件)、運行受感染的文檔(Office 文檔產生的可疑進程)以及未知攻擊等異常活動都可以被識別。
 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 1000炮金蟾捕鱼游戏机打法 分分彩通用稳赚方案 辽宁十一选五任八技巧 江西快3今天开奖号顺序 银行的钱怎样投资股票赚钱的 如何购买彩票网站 北京单场概率 开元国际棋牌 抖音你拼命赚钱 双坐标图表 百度彩票开奖pk10 重庆时时在线预测专家 哪个手机软件做任务最赚钱的 韩国快乐8玩法 今日天津快乐十分开奖 浙江快乐彩12选5开奖结果