Mac Suspiscious过程
这些检测从Insight Agent从macOS端点收集的进程启动记录中识别可疑活动。必威体育app登录
攻击者工具-钴打击客户端应用程序- Mac
描述
该检测旨在检测穿透测试/开发后框架Cobalt Strike的使用情况。这种检测只适用于Mac操作系统。
建议
调查流程事件,以确定该活动是否在客户端网络中得到授权和预期。
攻击者工具-钴打击客户端更新- Mac
描述
该检测旨在检测穿透测试/开发后框架Cobalt Strike的使用情况。这种检测只适用于Mac操作系统。
建议
调查流程事件,以确定该活动是否在客户端网络中得到授权和预期。
macOS可疑进程- chmod & nohup
描述
该检测将识别正在执行的chmod和在同一命令中使用nohup执行的文件。这已经在macOS恶意软件中被观察到,尤其是Schlayer恶意软件,作为一种执行方法。
建议
检查生成该命令的父进程,以及该进程可能生成的任何其他内容。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- Unix Shell - T1059.004
- 文件和目录权限修改- T1222
macOS可疑进程-杀死终端
描述
此检测识别用于杀死正在运行的macOS终端的任何实例的killall命令。这可能是为了阻止恶意软件继续执行的早期阶段,或者作为一种反分析技术。
建议
检查生成该命令的父进程,以及该进程可能生成的任何其他内容。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- 禁用或修改工具- T1562.001
macOS可疑进程-尾部管道到Funzip
描述
该检测识别出'tail -c'命令用于从文件输出指定数量的字节,然后输入'funzip'实用程序以解压缩数据。这在macOS恶意软件中已经被观察到,它将在bash脚本的末尾隐藏一个压缩的二进制文件,使用tail只从脚本文件输出zip文件,解压文件,并执行它。
建议
研究正在使用'tail'命令的文件。检查生成该命令的父进程,以及该进程可能生成的任何其他内容。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- 解密/解码文件或信息- T1140
恶意文件- Microsoft Office for macOS生成旋度
描述
针对macOS的恶意文档使用curl从远程服务器下载第二阶段有效负载。
更多资料请浏览:https://labs.sentinelone.com/lazarus-apt-targets-mac-users-poisoned-word-document/
建议
检查生成相关进程的父进程,以及它可能生成的任何进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- 进入工具传输- T1105
- 鱼叉钓鱼附件- T1598.002
恶意文档- Microsoft Office for macOS生成Python
描述
此检测标识macOS启动Python的Microsoft Office。针对macOS的恶意文档已经被观察到使用Python执行恶意代码。
建议
检查传递给Python进程的代码,以及它可能生成的任何进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- Python - T1059.006
- 鱼叉钓鱼附件- T1598.002
恶意文件- Word为macOS生成perl
描述
这个检测标识了Word生成perl。这已经被包括Ocean Lotus (APT32)在内的攻击组针对macOS的恶意文档所观察到。
建议
检查传递给Perl的命令,以及Perl可能生成的任何进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- 鱼叉钓鱼附件- T1598.002
恶意文件- Word的macOS产卵壳
描述
该检测识别生成单词的sh、bash或zsh。这已经被包括Ocean Lotus (APT32)在内的恶意组织针对macOS的恶意文档所观察到。
建议
确定shell正在执行什么。检查Word生成的任何进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- 鱼叉钓鱼附件- T1598.002
恶意文件- Word或Excel for macOS打开slk文件
描述
.slk文件是一种可以追溯到微软DOS的符号链接格式。它们在Office产品中仍然受到支持,恶意的参与者可以使用它们来交付将被Microsoft Word或Excel打开的宏。
建议
检查由Word或Excel启动的任何进程,以及这些进程可能生成的任何进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- 鱼叉钓鱼附件- T1598.002
可疑的MacOS进程- launchd启动存档工具
描述
为了绕过创建启动代理的防御,恶意参与者可以创建一个登录项,该登录项指向~/Library中的一个zip文件,该文件包含一个名为LaunchAgents的文件夹,其中包含一个启动代理plist文件。由于这既不是脚本也不是可执行文件,所以操作系统允许它,并且在登录时使用默认处理程序打开归档文件。默认的macOS Archive Utility是受操作系统信任的,它将打开存档,并将存档中包含的plist文件写入~/ library /LaunchAgents,非特权用户或不受信任的二进制文件通常无法写入该文件。这将导致在plist文件中指定的内容在下次登录时启动。
更多信息请访问https://objective-see.com/blog/blog_0x4B.html
建议
检查创建的plist文件。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- Launchctl——T1569.001
可疑的过程- Curl从Cloudfront URL下载
描述
该检测将识别用于从CloudFront URL下载数据的'curl'命令。恶意行为者已经被观察到使用'curl'从CloudFront下载第二阶段的有效载荷。
建议
研究CloudFront URL的内容。检查生成该命令的父进程,以及该进程可能生成的任何其他内容。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- Web服务- T1102
- 进入工具传输- T1105
可疑进程- Curl输出管道到Bash
描述
该检测将识别从Curl实用程序管道输送到bash或其他shell进程的输出。恶意行为者可能使用Curl下载额外的恶意软件,并将该恶意软件通过管道进行bash执行。
建议
调查下载的URL。检查由Curl生成的shell进程生成的任何其他进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- Unix Shell - T1059.004
- 进入工具传输- T1105
可疑的进程- Curl输出管道到Perl
描述
该检测将标识从管道输送到Perl的Curl实用程序的输出。恶意程序可能使用Curl下载额外的恶意软件,并将该恶意软件通过管道输送到Perl执行。
建议
调查下载的URL。检查由Curl生成的Perl进程所生成的其他进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- 进入工具传输- T1105
可疑进程-通过管道将Curl输出到Python
描述
此检测将标识从管道输送到Python的Curl实用程序的输出。恶意行为者可能会使用Curl下载额外的恶意软件,并将该恶意软件管道到Python中执行。
建议
调查下载的URL。检查由Curl生成的Python进程生成的任何其他进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- Python - T1059.006
- 进入工具传输- T1105
可疑进程- curl -upload-file
描述
已经观察到恶意软件使用curl—uploadfile命令,没有指定用户名,将数据转移到攻击者控制的服务器。
macOS的CookieMiner恶意软件中明确指出了这种活动:https://unit42.paloaltonetworks.com/mac-malware-steals-cryptocurrency-exchanges-cookies/
建议
检查生成相关进程的父进程,以及它可能生成的任何进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- 通过C2通道出口- T1041
- 通过Web服务的外过滤- T1567
可疑进程- Office for macOS启动OSAScript
描述
此检测标识启动OSAScript的Microsoft Office进程。OSAScript是一个用于执行AppleScript的命令行工具,攻击者可能会将其用于恶意目的。
建议
尝试识别导致此活动发生的文档。研究正在运行的AppleScript的内容。检查可能已经由OSAScript启动的任何进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- AppleScript——T1059.002
- 鱼叉钓鱼附件- T1566.001
可疑的过程-银麻雀文件名
描述
该检测识别已知被macOS的SilverSparrow恶意软件使用的文件名。
更多信息请访问https://redcanary.com/blog/clipping-silver-sparrows-wings/
建议
检查生成相关进程的父进程,以及它可能生成的任何进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
可疑进程-查看macOS隔离事件
描述
此检测标识用于读取macOS隔离事件数据库内容的SQL。已经观察到恶意程序这样做是为了查看下载它们的URL。
建议
检查生成该命令的父进程,以及该进程可能生成的任何其他内容。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
可疑进程- WGet输出管道到Bash
描述
该检测将标识从管道输送到bash或另一个shell进程的WGet实用程序的输出。恶意行为者可能使用WGet下载额外的恶意软件,并将该恶意软件通过管道进行bash以执行。
建议
调查下载的URL。检查由WGet派生的bash进程派生的任何其他进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- 进入工具传输- T1105
可疑进程- Wget输出管道到Perl
描述
该检测将标识从管道输送到Perl的WGet实用程序的输出。恶意行为者可能使用WGet下载额外的恶意软件,并将该恶意软件通过管道输送到Perl执行。
建议
调查下载的URL。检查由WGet生成的Perl进程所生成的任何其他进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- 进入工具传输- T1105
可疑进程- WGet输出管道到Python
描述
该检测将标识从管道输送到Python的WGet实用程序的输出。恶意行为者可能使用WGet下载额外的恶意软件,并将该恶意软件管道到Python中执行。
建议
调查下载的URL。检查由WGet派生的Python进程派生的任何其他进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- 进入工具传输- T1105