Threat Hunting – Esecuzione
Alias: PowerHunt
Sulla base della telemetria degli Endpoint viene eseguito un controllo sugli script Powershell eseguiti che contengono comandi associati ad attività sospette.
Fonti:
ESEMPI
powershell.exe –ep Bypass “& {Get-Content . malware.ps2 | iex}
ESEMPI
net user username password domain
Get-WmiObject -Namespace rootsecuritycenter2 -Class antivirusproduct
Threat Hunting – Discovery
Alias: D-Hunter
Vengono eseguiti controlli sui comandi che permettono l’enumerazione di utenti, di processi, dei privilegi e la creazione di account. Vengono applicate le stesse logiche per il monitoraggio di ambienti AD e Azure AD.
Fonti:
Threat Hunting – Comando & Controllo
Alias: C2Hunt
Viene effettuato un controllo sul traffico dns delle applicazioni che comunicano con domini noti utilizzati per attività offensive come i servizi API di Github.
Fonti:
ESEMPI
Malleable C2
ESEMPI
New-ScheduledTaskAction -Execute ‘pwsh.exe’ -Argument ‘-NonInteractive -NoLogo -NoProfile -File “C:MyScript.ps1″‘
sc.exe \myserver create NewService binpath= c:windowsPayload.exe
Threat Hunting – Persistence
Alias: D-Hunter
Viene eseguito il monitoraggio costante di creazione di metodi di persistenza sul sistema, tecnica che permette di avere accesso all’endpoint compromesso dopo riavvio/chiusura processo.