Punto final

Detecta el ataque de pulverización de contraseñas.

Detecta el ataque de fuerza bruta.

Se activa cuando se detecta una aplicación de Virtual Network Computing (VNC) desde Internet a un host local.

Se activa cuando se detecta el Protocolo de Escritorio Remoto (RDP) de Microsoft desde Internet a un host local.

Se desencadena cuando se detecta un inicio de sesión sospechoso desde una cuenta válida.

Se activa cuando un proceso que no debe tener hijos inicia un proceso.

Se activa cuando se elimina un archivo crítico o un archivo de un directorio crítico.

Se activa cuando se modifican archivos o directorios críticos y se produce una actividad sospechosa.

Se activa cuando se produce una comunicación con una dirección IP potencialmente hostil. Las posibles direcciones IP hostiles se registran en IBM X-force o en la colección de conjuntos de referencia personalizados.

Se desencadena cuando se detecta un uso del módulo PSExec.

Se desencadena cuando un servicio está configurado para utilizar Powershell.

Se activa cuando se observa un IOC (File Hash) relacionado con el ransomware Ryuk en los eventos.

Se activa cuando se observa un IOC (File Hash) relacionado con el ransomware Ryuk en los flujos.

Detecta un intento de búsqueda de lugares comunes de almacenamiento de contraseñas para obtener credenciales de usuario.

Detecta intentos consecutivos de búsqueda de ubicaciones comunes de almacenamiento de contraseñas para obtener credenciales de usuario.

Detecta un intento de utilizar funciones de la API de Windows relacionadas con la suplantación o el robo de tokens.

Detecta las conexiones salientes iniciadas por el archivo regsvr32.exe.

Detecta las conexiones salientes iniciadas por el archivo dllhost.exe.

Detecta las conexiones salientes iniciadas por el archivo rundll32.exe.

Se activa cuando se observa una carga útil de Petya en los flujos.

Detecta la suplantación y el robo de señales. (Ejemplo: DuplicateToken(Ex) y ImpersonateLoggedOnUser con la bandera LOGON32_LOGON_NEW_CREDENTIALS)

Se desencadena cuando se reconoce un IOC como un valor de registro de Turla.

Se activa cuando se detecta un comportamiento potencialmente perteneciente a X-Force Red StandIn.

Se activa cuando el directorio de trabajo actual (CWD) se detecta en los siguientes directorios:

• /boot
• /etc/pam.d
• /etc/rsyslog
• /etc/openldap
• /etc/sysconfig/network-script
• /var/spool/cron
• /etc/cron* (por ejemplo /etc/cron.hourly, /etc/cron.weekly)
• /etc/init.d/
• bin/login
• /bin/passwd
• /etc/*.conf

Los siguientes archivos están bajo vigilancia:

• /etc/shadow
• /etc/passwd
• /etc/sudoers
• /etc/syslog.conf
• /etc/crontab
• /etc/gshadow
• /etc/group
• /etc/sysconfig/syslog
• /etc/security/opasswd
• /etc/default/ufw
• .bash_history
• /usr/bin
• /usr/sbin
• /bin
• /boot
• /usr/local/bin
• /usr/local/sbin
• /opt/bin
• /opt/sbin
• Windows
• C:\autoexec.bat
• C:\boot.ini
• C:\config.sys
• C:\Windows\system.ini
• C:\Windows\win.ini
• C:\Windows\regedit.exe
• C:\Windows\System32\userinit.exe
• C:\Windows\explorer.exe
• C:\Program Files\Microsoft Security Client\msseces.exe

Define los directorios de trabajo actuales sensibles que activan las alertas de ataque de traspaso de directorios.

Define una regla que se activa cuando el directorio de trabajo actual (CWD) se detecta en los siguientes directorios:

• /boot
• /etc/pam.d
• /etc/rsyslog
• /etc/openldap
• /etc/sysconfig/network-script
• /var/spool/cron
• /etc/cron* (por ejemplo /etc/cron.hourly, /etc/cron.weekly)
• /etc/init.d/
• bin/login
• /bin/passwd
• /etc/*.conf

Los siguientes archivos están bajo vigilancia:

• /etc/shadow
• /etc/passwd
• /etc/sudoers
• /etc/syslog.conf
• /etc/crontab
• /etc/gshadow
• /etc/group
• /etc/sysconfig/syslog
• /etc/security/opasswd
• /etc/default/ufw
• .bash_history
• /usr/bin
• /usr/sbin
• /bin
• /boot
• /usr/local/bin
• /usr/local/sbin
• /opt/bin
• /opt/sbin
• Windows
• C:\autoexec.bat
• C:\boot.ini
• C:\config.sys
• C:\Windows\system.ini
• C:\Windows\win.ini
• C:\Windows\regedit.exe
• C:\Windows\System32\userinit.exe
• C:\Windows\explorer.exe
• C:\Program Files\Microsoft Security Client\msseces.exe

Define cuándo se utiliza el comando PowerShell Get-ChildItem para descubrir directorios de forma recursiva. Este evento se produce cuando se especifica el parámetro -Recurse o cuando el comando se utiliza dentro de un bucle ForEach.

Se dispara cuando se observa un proceso relacionado con la herramienta StandIn. StandIn es una herramienta de pruebas de penetración que suelen utilizar los equipos rojos. Sin embargo, los actores maliciosos pueden utilizar esta aplicación para realizar ataques.

Se dispara cuando se observan comandos de persistencia relacionados con la herramienta StandIn. StandIn es una herramienta de pruebas de penetración que suelen utilizar los equipos rojos. Sin embargo, los actores maliciosos pueden utilizar esta aplicación para realizar ataques.

Se activa cuando se observan comandos de evasión de defensa relacionados con la herramienta StandIn. StandIn es una herramienta de pruebas de penetración que suelen utilizar los equipos rojos. Sin embargo, los actores maliciosos pueden utilizar esta aplicación para realizar ataques.

Se dispara cuando se observan comandos de escalada de privilegios relacionados con la herramienta StandIn. StandIn es una herramienta de pruebas de penetración que suelen utilizar los equipos rojos. Sin embargo, los actores maliciosos pueden utilizar esta aplicación para realizar ataques.

Se dispara cuando se observan comandos de enumeración relacionados con la herramienta StandIn. StandIn es una herramienta de pruebas de penetración que suelen utilizar los equipos rojos. Sin embargo, los actores maliciosos pueden utilizar esta aplicación para realizar ataques.

Se desencadena cuando un servicio está configurado para utilizar un conducto. Esto podría indicar que un atacante obtiene acceso al sistema de un usuario mediante el escalamiento de privilegios utilizando getsystem.

Detecta la vulnerabilidad de transferencia MOVEit mediante el indicador de línea de mandatos de compromiso.

Detecta explotación de vulnerabilidad de transferencia MOVEit a través del indicador de nombre de archivo de compromiso.

Detecta la vulnerabilidad de transferencia MOVEit mediante el indicador hash de compromiso.

Detecta vulnerabilidades de ejecución de código remoto en Microsoft Exchange.

Microsoft ha emitido "CVE-2022-41040" y "CVE-2022-41082" Exchange Server.

Detecta vulnerabilidades de ejecución de código remoto en Microsoft Exchange.

Microsoft ha emitido "CVE-2022-41040" y "CVE-2022-41082" Exchange Server.

Detecta vulnerabilidades de ejecución de código remoto en Microsoft Exchange.

Microsoft ha emitido "CVE-2022-41040" y "CVE-2022-41082" Exchange Server.

Esta regla detecta las IP de RCE de Windows conocidas.

Detecta los nuevos procesos críticos creados. Los procesos críticos se refieren a aquellos que potencialmente pueden ser mal utilizados por los adversarios para realizar actividades maliciosas. Los procesos comunes incluyen: PowerShell, cmd, mshta.

Detecta nuevos archivos creados bajo directorios temporales. Los adversarios pueden utilizar determinados directorios temporales para descartar archivos maliciosos.

Detecta procesos críticos creados a partir de archivos de acceso directo (lnk), en orden por reglas de QRadar .

Detecta procesos críticos creados a partir de archivos de acceso directo (lnk), en orden por reglas de QRadar .

1. Cambios de registro para crear claves (para persistencia).
2. Descarta el directorio temporal de ion ejecutable.
3. Suprime las duplicaciones.
4. Cifrado (modificación de archivo).

Se desencadena cuando se detecta una explotación de vulnerabilidad de Microsoft Support Diagnostic Tool (MSDT) potencial.

Microsoft ha emitido "CVE-2022-30190" para la vulnerabilidad en MSDT. El adversario puede ejecutar código remoto utilizando MSDT para ejecutar código arbitrario.

Define la comunicación con un host hostil potencial, categorizado por conjuntos de referencia.

Los conjuntos de referencia que empiezan con los prefijos "XFE ATPF" se gestionan automáticamente mediante la aplicación Threat Intelligence y requieren una suscripción de pago. Los otros conjuntos de referencia los proporciona la aplicación Threat Intelligence y se pueden utilizar para incluir canales de información de Threat Intelligence de terceros.

Define la comunicación con una IP hostil potencial, categorizada por conjuntos de referencia.

Los conjuntos de referencia que empiezan con los prefijos "XFE ATPF" se gestionan automáticamente mediante la aplicación Threat Intelligence y requieren una suscripción de pago. Los otros conjuntos de referencia los proporciona la aplicación Threat Intelligence y se pueden utilizar para incluir canales de información de Threat Intelligence de terceros.

Se activa cuando se observa un indicador de compromiso (IOC) de vía de acceso de archivo relacionado con malware como servicio (MaaS), como un troyano Emotet o Trickbot.

Los IOC seguirán el patrón en estos directorios personalizados:

• %APPDATA%\roaming\winapp\client_id
• %APPDATA%\roaming\winapp\group_tag
• %APPDATA%\system32\Tasks\services update
• %APPDATA%\system32\Tasks\MsSysToken
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\TEMP\RandomNumber.TMP

El conjunto de referencia Malware as a Service_Path se ha rellenado previamente. Ajuste este conjunto de referencia con el IOC relevante.

• Carbon Black Response
• Punto final
• FireEye MPS
• Linux
• Microsoft Windows
• ObserveIT
• osquery

Se activa cuando se observa un indicador de compromiso (IOC) de vía de acceso de archivo relacionado con malware como servicio (MaaS), como un troyano Emotet o Trickbot.

Los IOC seguirán el patrón en estos directorios personalizados:

• %APPDATA%\roaming\winapp\client_id
• %APPDATA%\roaming\winapp\group_tag
• %APPDATA%\system32\Tasks\services update
• %APPDATA%\system32\Tasks\MsSysToken
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\TEMP\RandomNumber.TMP

El conjunto de referencia Malware as a Service_Path se ha rellenado previamente. Ajuste este conjunto de referencia con el IOC relevante.

Se activa cuando un IOC se categoriza como malicioso en una recopilación de conjunto de referencia.

Las reglas de IOC de hash de malware como servicio en flujos y Ransomware: Ryuk IOC en flujos se excluyen de esta regla para evitar la repetición. Su propósito es tener una respuesta de regla dedicada.

Se activa cuando un IOC se categoriza como malicioso en una recopilación de conjunto de referencia.

IOC de hash de malware como servicio en flujos y Ransomware: Ryuk IOC en flujos se excluyen de esta regla para evitar la repetición. Su propósito es tener una respuesta de regla dedicada.

Esta regla se ha renombrado a partir de Acceso fallido excesivo a una compartición administrativa desde el mismo origen

Se activa cuando se detectan varios sucesos de autenticación fallida en la misma máquina desde una única dirección IP de origen.

Este comportamiento indica un potencial intento de fuerza bruta para acceder a una máquina.

Esta regla se ha renombrado a partir de Errores de inicios de sesión excesivos a través de RDP.

Se activa cuando se detectan varios sucesos de autenticación fallida en máquinas diferentes desde una única dirección IP de origen.

Este comportamiento indica un potencial intento de fuerza bruta para acceder a una máquina.

Esta regla se ha renombrado a partir de Errores de inicio de sesión excesivos mediante conexión de red a varias máquinas.

Se activa cuando se observa un comportamiento de malware como servicio.

Estos comportamientos incluyen el uso de un programa de utilidad de descarga en el punto final y la vía de acceso del archivo que muestra la indicación de compromiso.

Se activa cuando se observa un IOC de hash de archivo relacionado con MaaS como, por ejemplo, un troyano Emotet o Trickbot.

Los conjuntos de referencia Malware as a Service_SHA1, Malware as a Service_SHA256y Malware as a Service_MD5 se rellenan previamente. Ajuste estos conjuntos de referencia con el IOC relevante.

Se activa cuando se observa un IOC de hash de archivo relacionado con MaaS como, por ejemplo, un troyano Emotet o Trickbot.

Malware as a Service_SHA1, Malware as a Service_SHA256 y Malware as a Service_MD5 se rellenan previamente. Ajuste estos conjuntos de referencia con el IOC relevante.

Esta regla se ha actualizado para las vulnerabilidades de Windows.

Esta regla se ha actualizado para el ransomware Ryuk.

Esta regla se ha actualizado para el ransomware Ryuk.

Esta regla se ha actualizado para todas las reglas de detección nuevas que se han añadido en este release.

Se desencadena cuando se observa un hash de archivo IoC relacionado con el ransomware Ryuk.

Ryuk_SHA256, Ryuk_SHA1y Ryuk_MD5 están rellenados previamente. Ajuste estos conjuntos de referencia con el IOC relevante.

Se desencadena cuando se observa un hash de archivo IoC relacionado con el ransomware Ryuk.

Ryuk_SHA256, Ryuk_SHA1y Ryuk_MD5 están rellenados previamente. Ajuste estos conjuntos de referencia con el IOC relevante.

Se desencadena cuando el ransomware Ryuk cancela los procesos en ejecución después de hacer una copia de sí mismo.

El conjunto de referencia Lista de servicio Ryuk y terminación de proceso se ha rellenado previamente. Ajuste este conjunto de referencia con los servicios y procesos relevantes.

• IOC de hash de malware como servicio en sucesos
• IOC de hash de malware como servicio en flujos

• Intento de suprimir duplicaciones
• Archivo crítico suprimido (Unix)
• Herramienta de apropiación de RDP detectada
• Recuperación inhabilitada en datos de configuración de arranque
• Ransomware: Servicio Ryuk o terminación de proceso

• Detección de archivo o proceso malicioso
• Detección de IOC malicioso
• Decodificación de archivo o descarga seguida de actividad sospechosa
• Ransomware: IOC de BadRabbit en sucesos
• Ransomware: IOC de BadRabbit en flujos
• Ransomware: IOC de Maze en sucesos
• Ransomware: IOC de Petya/NotPetya en sucesos
• Ransomware: IOC de Petya/NotPetya en flujos
• Ransomware: IOC de REvil en sucesos
• Ransomware: IOC de WCry en sucesos
• Ransomware: IOC de WCry en flujos
• Ransomware: WCry Payload en flujos
• IOC de ransomware detectados en varias máquinas
• Ransomware: IOC de Ryuk en sucesos
• Ransomware: IOC de Ryuk en flujos
• Extensión de archivo cifrado de ransomware

• Comportamiento de Cobalt Strike detectado
• Acceso anómalo excesivo a una compartición administrativa desde el mismo origen
• Uso excesivo de nslookup
• Herramienta de reconocimiento detectada

• Supresión y creación de archivos excesivos
• Extensión de archivo cifrado de ransomware
• Ransomware: Transferencia de archivos sospechosa de laberinto
• Cantidad sospechosa de archivos suprimidos en la misma máquina
• Cantidad sospechosa de archivos renombrados en la misma máquina (Windows)
• Cantidad sospechosa de archivos renombrados/movidos en la misma máquina (Unix)

• ls -d
• find -type d
• ls -r

Edite el bloque de construcción BB:CategoryDefinition: archivos con permisos confidenciales añadiendo archivos o directorios que supervisar. Estas ubicaciones deberían estar relacionadas con el arranque, la copia de seguridad, el registro o las credenciales, aspectos cuya explotación reviste mayor gravedad.

• Minergate
• Neshta
• Slayer Leecher
• NLBrute (NL)
• EternalBlue
• MimiKatz / MimiPenguin

• ngrok, que se puede utilizar para abrir conexiones que omiten un cortafuegos
• tscon, una herramienta de Windows nativa que se puede utilizar para secuestrar otra sesión de RDP activa

• BloodHound, y su herramienta de ingestión de datos SharpHound, es una aplicación que se utiliza para correlacionar relaciones ocultas y no intencionadas dentro de un entorno de Active Directory. Los atacantes pueden utilizar estas herramientas para identificar fácilmente las vías de ataque.
• PingCastle es una herramienta comúnmente utilizada por las empresas para evaluar la seguridad de Active Directory. Los actores maliciosos pueden utilizar esta herramienta para detectar vulnerabilidades dentro del entorno.
• Advanced IP Scanner es un explorador de red que se puede utilizar para controlar de forma remota los dispositivos en un entorno. Esta herramienta se puede utilizar durante un ataque de ransomware para habilitar el movimiento lateral.
• AdFind es una herramienta de consulta de Active Directory de línea de mandatos. Se puede utilizar para identificar rápidamente puntos débiles dentro de una configuración de Active Directory.
• Everything (o ES) es un programa de utilidad de búsqueda que permite encontrar archivos y carpetas más rápidamente. Esta funcionalidad puede habilitar el ransomware para recopilar información sobre todos los archivos y carpetas para el cifrado posterior.
• Masscan es una herramienta de exploración de puertos. Con frecuencia es utilizado por los atacantes para listar los puertos potencialmente vulnerables. Estas herramientas también pueden ser utilizadas por equipos rojos y no son inherentemente peligrosas, sin embargo los actores maliciosos pueden utilizarlas para sondear un entorno antes de atacarlo.

• Cisco AMP
• Cisco Firepower
• Linux
• Microsoft Office 365
• Microsoft Windows
• osquery
• Microsoft 365 Defender

• Amazon AWS
• Blue Coat
• Cisco AMP
• Cisco Ironport
• McAfee EPO
• Microsoft Office 365
• Microsoft Windows
• osquery
• Postfix
• Squid
• Microsoft 365 Defender

• Linux
• osquery

• Amazon AWS
• Azure
• Bit9 Security Platform
• Blue Coat
• Carbon Black Protection
• Cisco AMP
• Cisco Firepower
• Cisco Ironport
• Punto final
• FireEye MPS
• Fortinet FortiAnalyzer
• Linux
• McAfee EPO
• Microsoft Office 365
• Microsoft Windows
• osquery
• Palo Alto PA Series
• Postfix
• Squid
• Sysmon
• VMware
• Microsoft 365 Defender

• Linux
• Microsoft Windows

• Linux
• Microsoft Windows

• Cisco AMP
• Microsoft 365 Defender
• Microsoft Windows

• osquery
• Microsoft Windows

• Carbon Black Response
• Kubernetes
• Microsoft Windows
• osquery
• Sysmon

• Carbon Black Response
• Punto final
• FireEye MPS
• Linux
• Microsoft Windows
• ObserveIT
• osquery

• Carbon Black Response
• Microsoft Windows

• Cisco AMP
• Microsoft 365 Defender
• osquery
• Sysmon

• Amazon AWS
• Azure
• Kubernetes
• Microsoft Office 365
• Microsoft Windows
• osquery
• VMware

• Blue Coat
• Cisco Ironport
• IBM Aplicación Cloud Discovery para QRadar
• McAfee EPO
• Squid
• Microsoft 365 Defender

• Azure
• Linux
• osquery

• Empezar por un punto
• Empezar por un punto y contener un espacio
• Basado en permisos (por ejemplo, -rwx------)

• /etc/login.defs
• /etc/pam.d/common-password
• /etc/pam.d/system-auth
• /etc/security/pwquality.conf

• /boot/
• /etc/pam.d/
• /etc/shadow
• /etc/passwd
• /etc/rsyslog/
• /etc/openldap/
• /etc/sysconfig/syslog
• /etc/syslog.conf
• /etc/sysconfig/network-scripts/
• /etc/default/ufw
• /etc/sudoers

• Exploración de registro en busca de contraseñas que puedan ser utilizadas por el sistema u otros programas
• Volcado de hash utilizando el Administrador de cuentas de seguridad
• Modificación del registro de WDigest para permitir el almacenamiento de contraseñas en texto sin formato.

Las condiciones siguientes del filtro de AQL indican tres métodos de volcado de credenciales implementados en esta regla. Cada método se puede implementar por separado utilizando estos filtros de AQL con fines de ajuste.

1. Un adversario puede buscar en las estructuras de registro explorando los valores de contraseña: cuando el suceso coincide con LOWER("Process CommandLine") MATCHES 'reg\s+query.*password.*' Consulta de filtro AQL.
2. Un adversario puede volcar y filtrar las estructuras de registro con fines maliciosos. Esta es una indicación del volcado de credenciales a través del Administrador de cuentas de seguridad: cuando el suceso coincide con la consulta de filtro de AQL LOWER("Process CommandLine") MATCHES 'reg.*save.*(sam|system|security)'.
3. Esta modificación de clave de registro obliga a wdigest a almacenar credenciales en texto sin formato la próxima vez que alguien inicie sesión en este sistema: cuando el suceso coincida con LOWER("Process CommandLine) MATCHES 'reg\s+(add|query).*uselogoncredential.*' Consulta de filtro AQL cuando el suceso coincide con la consulta de filtro de AQL LOWER("Registry Key") MATCHES '\\system\\(controlset001|controlset002|currentcontrolset).*wdigest'.

• %WINDIR%\AppPatch\Custom
• %WINDIR%\AppPatch\CustomSDB
• %WINDIR%\AppPatch\AppPatch64\Custom