T1105-win-命令提示符网络链接

来自ATT&CK的描述

攻击者可能会将工具或其他文件从外部系统转移到被攻陷的环境中。可以通过命令控制通道从外部攻击者控制的系统中复制文件，以便将工具带入被攻陷的网络环境中，或通过与另一个工具（如FTP）的替代协议复制文件。文件也可以在Mac和Linux上使用scp、rsync和sftp等本机工具进行复制。

测试案例

识别cmd.exe建立网络连接。攻击者可能滥用cmd.exe从远程URL下载或执行恶意软件。

参考文章：渗透技巧——通过cmd上传文件的N种方法

检测日志

windows安全日志

测试复现

暂无

测试留痕

暂无，仅提供检测规则相关的日志示例

windows server 2016/win10

The Windows Filtering Platform has allowed a connection.

Application Information:

   Process ID:  1752
   Application Name: \device\harddiskvolume1\windows\system32\dns.exe

Network Information:

   Direction:  Inbound
   Source Address:  10.45.45.103
   Source Port:  53
   Destination Address: 10.45.45.103
   Destination Port:  50146
   Protocol:  17

Filter Information:

   Filter Run-Time ID: 5
   Layer Name:  Receive/Accept
   Layer Run-Time ID: 44

检测规则/思路

sigma规则

title: 检测命令提示符网络链接
description: 通过windows日志命令检测提示符网络链接
tags: T1105
status: experimental
references:
    - https://www.elastic.co/guide/en/siem/guide/current/command-prompt-network-connection.html#command-prompt-network-connection
logsource:
    product: windows
    service: security
detection:
    selection1:
          EventID: 5156
          Process.name: 'cmd.exe' #Application Name
    selection2:
          Destination Address:
                       - 10.0.0.0/8
                       - 172.16.0.0/12
                       - 192.168.0.0/16
    condition: selection1 and not selection2
level: low

Elastic rule query

process.name:cmd.exe and event.action:"Network connection detected
(rule: NetworkConnect)" and not destination.ip:(10.0.0.0/8 or
172.16.0.0/12 or 192.168.0.0/16)

建议

低版本操作系统无法记录命令行参数及子父进程，建议通过Sysmon进行监控。

参考推荐

MITRE-ATT&CK-T1105

https://attack.mitre.org/techniques/T1105

检测命令提示符网络链接

https://www.elastic.co/guide/en/siem/guide/current/command-prompt-network-connection.html#command-prompt-network-connection