Cohab_Processes: identifique fácilmente procesos maliciosos en una máquina Linux

Cohab_Processes

Este script de Aggressor está destinado a ayudar a los Red Team internos a identificar procesos sospechosos o extraños (“Cohabitación”) que se ejecutan en sus entornos.

Red Teams puede reunir una lista de procesos “conocidos” (ya sea de forma independiente o en colaboración con Blue Force) y enviarla al script del agresor. Esta lista de procesos podría incluir aquellos vistos “al menos x veces en nuestra red” para establecer una línea de base. Una vez que el script se haya cargado en CobaltStrike, la salida de la baliza se modificará/codificará con colores para los siguientes comandos:

1. lista de tareas de shell
2. PD
3. BOF de la lista de tareas de TrustedSec  (No tiene que usar este BOF, pero es muy recomendable)

Cualquier proceso devuelto como resultado de los comandos anteriores que NO se encuentre en la lista de procesos “conocidos” se resaltará en ROJO para una mayor investigación/escrutinio.

lista de tareas de shell:

PD:

Lista de tareas de TrustedSec BOF:

Limitaciones

Esta metodología para identificar la cohabitación potencial ES severamente limitada. Por ejemplo, no identificará ni detectará cosas como:

1. Inyección de proceso: donde se ha inyectado malware y se está ejecutando en un proceso legítimo y “conocido”.
2. Carga lateral o secuestro de DLL: donde el malware ha sido cargado por un proceso legítimo y “conocido” al residir en un DLL que el proceso carga/ejecuta.

Este guión sirve como una forma de ayudar a atrapar la “fruta madura”.