Threat Hunting – Esecuzione

Alias: PowerHunt

Sulla base della telemetria degli Endpoint viene eseguito un controllo sugli script Powershell eseguiti che contengono comandi associati ad attività sospette. 

Fonti:

ESEMPI

powershell.exe –ep Bypass “& {Get-Content . malware.ps2 | iex}

ESEMPI

net user username password domain

Get-WmiObject -Namespace rootsecuritycenter2 -Class antivirusproduct

Threat Hunting – Discovery

Alias: D-Hunter

Vengono eseguiti controlli sui comandi che permettono l’enumerazione di utenti, di processi, dei privilegi e la creazione di account. Vengono applicate le stesse logiche per il monitoraggio di ambienti AD e Azure AD.

Fonti:

Threat Hunting – Comando & Controllo

Alias: C2Hunt

Viene effettuato un controllo sul traffico dns delle applicazioni che comunicano con domini noti utilizzati per attività offensive come i servizi API di Github.

Fonti:

ESEMPI

Malleable C2

ESEMPI

New-ScheduledTaskAction -Execute ‘pwsh.exe’ -Argument ‘-NonInteractive -NoLogo -NoProfile -File “C:MyScript.ps1″‘

sc.exe \myserver create NewService binpath= c:windowsPayload.exe

Threat Hunting – Persistence

Alias: D-Hunter

Viene eseguito il monitoraggio costante di creazione di metodi di persistenza sul sistema, tecnica che permette di avere accesso all’endpoint compromesso dopo riavvio/chiusura processo.

Fonti: