Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Feature/bits openvpn #435

Open
wants to merge 12 commits into
base: master
Choose a base branch
from
Open

Feature/bits openvpn #435

wants to merge 12 commits into from

Conversation

d3f0x0
Copy link

@d3f0x0 d3f0x0 commented Aug 16, 2024

Добавлен набор правил корреляции и нормализации для обнаружения действий с BITS.

Правила корреляции:

  • Create_bits_job_and_download - правило обнаруживает завершенную цепочку событий BITS от создания задачи до ее завершения
  • Create_bits_job_cmdline - правило обнаруживает взаимодействие с BITS на основе аргументов коммандой строки и командлетов powershell
  • Create_bits_job_suspicious_process - правило обнаруживает создание задачи BITS подозрительным процессом (не из ТС BITS_process_whitelist)
  • Download_file_via_bits - правило обнаруживает загрузку файлов на локальную систему на основе, создания временного файла
  • Used_bits_over_custom_binary - правило обнаруживает взаимодействие с BITS, основываясь на загружаемых модулях
  • Windows_defender_BITS_alert - правило обнаруживает взаимодействие с BITS, основываясь на алерте Windows Defender

Табличный список:

  • BITS_process_whitelist - белый список для Create_bits_job_suspicious_process

Правила нормализации:

  • 3_Bits_created_job
  • 4_Bits_finished_job
  • 5_Bits_cancel_job
  • 59_Bits_started_job
  • 60_Bits_stop_job
  • 1116_MalwareProtection_State_Malware_Detected

Подробное описание использования BITS хакерами и способов их обнаружения будет в статье на https://xakep.ru/

Resolve #11

d3f0x0 added 12 commits August 13, 2024 19:58
@d3f0x0
Добавлена нормализация для событий из журнала
7b08ab1 
Microsoft-Windows-Bits-Client/Operational
С EventId: 3, 3, 5, 59, 60
@d3f0x0
Добавлено правило корреляции
3ad5035 
Download_file_via_bits, которое обнаруживает
создание временного файла службой BITS,
название файла должно совпадать с патерном
bit[\w\d]+\.tmp
@d3f0x0
Добавлено поле object.id в котором хранится
64ed67a 
идентификатор задачи
@d3f0x0
правило обнаруживает создание задачи BITS
ba349e4 
и успешное ее завершение
@d3f0x0
добавлено правило Create_bits_job_suspicious_process
8594041 
для обнаружения создания задач BITS не из whitelist
BITS_process_whitelist
@d3f0x0
Добавлено правило обнаружения загрузки dll
d2220e8 
- bitsproxy.dll
- microsoft.backgroundintelligenttransfer.management.interop.dll
повзволяющих взаимоедйствовать с BITS
@d3f0x0
Добавлено правило нормализации для события
8e3ed25 
EventID=1116 из журнала
Microsoft-Windows-Windows Defender/Operational
@d3f0x0
Добавлено правило корреляции
11c97a6 
Windows_defender_BITS_alert для обнаружения
эксплуатации BITS
@d3f0x0
Добавлено правило обнаружения взаимодействия с BITS
3f9dbe5 
Правило основано на аргументах коммандой строки и
командлетах powershell
@d3f0x0
Поправлена локализация для правила корреляции
77d1efb
@d3f0x0
Добавлено правило корреляции для обнаружения
2f8f091 
создания дочерних процессов от svchost.exe -k netsvcs -p -s BITS
@d3f0x0
Merge branch 'feature/bits_openvpn' of https://github.com/d3f0x0/open…
d3f02f3 
…-xp-rules into feature/bits_openvpn
@d3f0x0
Copy link
Author

d3f0x0 commented Sep 6, 2024

Описание атак и правил https://xakep.ru/2024/09/06/bits-misuse/

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Reviewers
No reviews
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

Successfully merging this pull request may close these issues.

bits_openvpn.evtx
1 participant
@d3f0x0