T1105-win-命令提示符网络链接
来自ATT&CK的描述
攻击者可能会将工具或其他文件从外部系统转移到被攻陷的环境中。可以通过命令和控制通道从外部攻击者控制的系统中复制文件,以便将工具带入被攻陷的网络环境中,或通过与另一个工具(如FTP)的替代协议复制文件。文件也可以在Mac和Linux上使用scp、rsync和sftp等本机工具进行复制。
测试案例
识别cmd.exe建立网络连接。攻击者可能滥用cmd.exe从远程URL下载或执行恶意软件。
参考文章:渗透技巧——通过cmd上传文件的N种方法
检测日志
windows安全日志
测试复现
暂无
测试留痕
暂无,仅提供检测规则相关的日志示例
windows server 2016/win10
The Windows Filtering Platform has allowed a connection.
Application Information:
Process ID: 1752
Application Name: \device\harddiskvolume1\windows\system32\dns.exe
Network Information:
Direction: Inbound
Source Address: 10.45.45.103
Source Port: 53
Destination Address: 10.45.45.103
Destination Port: 50146
Protocol: 17
Filter Information:
Filter Run-Time ID: 5
Layer Name: Receive/Accept
Layer Run-Time ID: 44
检测规则/思路
sigma规则
title: 检测命令提示符网络链接
description: 通过windows日志命令检测提示符网络链接
tags: T1105
status: experimental
references:
- https://www.elastic.co/guide/en/siem/guide/current/command-prompt-network-connection.html#command-prompt-network-connection
logsource:
product: windows
service: security
detection:
selection1:
EventID: 5156
Process.name: 'cmd.exe' #Application Name
selection2:
Destination Address:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
condition: selection1 and not selection2
level: low
Elastic rule query
process.name:cmd.exe and event.action:"Network connection detected
(rule: NetworkConnect)" and not destination.ip:(10.0.0.0/8 or
172.16.0.0/12 or 192.168.0.0/16)
建议
低版本操作系统无法记录命令行参数及子父进程,建议通过sysmon进行监控。
参考推荐
MITRE-ATT&CK-T1105
https://attack.mitre.org/techniques/T1105
检测命令提示符网络链接