El australiano Krishna aka Kirtar22 ha creado un interesante proyecto en Github para asentar una buena base de conocimiento que ayude a crear/mejorar las capacidades de detección de amenazas en Linux. Los vectores de ataque están alineados con el framework ATT&CK de MITRE.
Lo que hizo fue usar la mayoría de los casos de prueba de ataque de Atomic Red Team y luego analizó cómo detectarlos y qué fuentes de logs serían necesarias para capturar estos ataques. Aunque es un proyecto que no ha recibido actualizaciones desde hace meses si que tiene una buena cantidad de casos de uso que todo threat hunter debe tener en cuenta ;):
Proyecto: https://github.com/Kirtar22/Litmus_Test/
Lo que hizo fue usar la mayoría de los casos de prueba de ataque de Atomic Red Team y luego analizó cómo detectarlos y qué fuentes de logs serían necesarias para capturar estos ataques. Aunque es un proyecto que no ha recibido actualizaciones desde hace meses si que tiene una buena cantidad de casos de uso que todo threat hunter debe tener en cuenta ;):
defense evasion
-
T1009 - Binary Padding
-
T1146 - Clear Command History
-
T1107 - File Deletion
-
T1222 - File Permissions Modification
-
T1158 - Hidden Files and Directories
-
T1148 - HISTCONTROL
-
T1070 - Indicator Removal on Host
- T1055 - Process Injection
discovery
privilege escalation
credential Access
persistence
-
T1156 .bash_profile and .bashrc
-
T1158 - Hidden Files and Directories
-
T1168 - Local Job Scheduling
-
T1166 - Setuid and Setgid
-
T1154 - Trap
execution
initial access
Proyecto: https://github.com/Kirtar22/Litmus_Test/
hola, excelente como siempre, solo un detalle, la liga del proyecto no funciona le falta una h, saludos
ResponderEliminarhttps://github.com/Kirtar22/Litmus_Test/