Splunk Security Content 威脅檢測與回應：第 4 季度綜述

正在尋找最新的 Splunk 安全內容？你來對地方了！此頁面每季度更新一次，其中包含所有最新的安全內容詳細資訊。

這篇博文涵蓋了 2023 年 11 月至 2024 年 1 月開發的所有安全內容。 直接跳轉到下面的更新，或繼續閱讀以瞭解更多資訊：

1. Splunk 如何開發安全內容
2. 我們提供的內容類型
3. 如何訪問安全內容

Splunk 持續監控威脅態勢，以開發、測試和交付安全內容，以幫助識別和響應環境中的漏洞和網路攻擊。

安全內容的類型
Splunk 提供了各種安全內容，所有這些內容都旨在説明您充分利用Splunk環境。 這包括：

檢測
Splunk 開箱即用的機器學習、行為和 AI 驅動的檢測搜索 旨在幫助識別模式並提醒您注意威脅和異常行為。

分析案例
與特定威脅相關的所有檢測搜索都以分析案例 （也稱為用例）的形式打包。

SOAR Playbook 包
一組預構建的自動化手冊 ，旨在説明用戶處理特定用例。

如何獲取安全內容
通過企業安全內容更新 （ESCU） 應用程式或 Splunk Security Essentials （SSE） 應用程式利用安全內容。 這兩個應用程式都允許您部署 1,600 多個開箱即用的搜索，以開始檢測、調查和回應威脅。 您還可以透過訪問 research.splunk.com 查看完整的安全內容儲存庫。

有了這些信息，我們就可以進入最新的內容。 一起來看看吧！

Splunk Security Content： 第四季度綜述
以下是簡要目錄，然後是 2023 年 11 月至 2024 年 1 月開發的所有安全內容的概述。 （更喜歡視頻更新？觀看我們的點播技術講座“使用Splunk威脅研究團隊的最新安全內容” 。）
 
目錄
對手諜報技術分析案例

• DarkGate Malware
• PlugX
• Rhysida Ransomware
• Office 365 Account Takeover
• Office 365 Persistence Mechanisms
• Windows Attack Surface Reduction
• Kubernetes Security
• Abnormal Kubernetes Behavior using Splunk Infrastructure Monitoring

新興威脅分析案例

• SysAid On-Prem Software CVE-2023-47246 Vulnerability
• Citrix NetScaler ADC and NetScaler Gateway CVE-2023-4966
• CISA AA23-347A
• Ivanti Connect Secure VPN Vulnerabilities
• Confluence Data Center and Confluence Server Vulnerabilities
• Jenkins Server Vulnerabilities

概述：對手諜報技術分析案例
DarkGate 是一種惡意軟體，它採用多級有效載荷並利用混淆的 AutoIt 腳本來洩露敏感數據並建立命令和控制通信。 這個分析案例 包括一些檢測，以幫助發現和調查可能表明 DarkGate 存在的活動。 查看“Enter The Gates： An Analysis of the DarkGate AutoIt Loader” 瞭解更多資訊。

PlugX，也稱為“PlugX RAT”或“Kaba”，是一種隱蔽的惡意軟體，以其逃避檢測的能力以及與網路間諜活動的聯繫而聞名。 您可以在此處閱讀 Splunk 威脅研究團隊對特定 PlugX 變體的分析 ，並在 PlugX 分析案例中找到檢測 結果，以搜索與以下相關的活動：

• Remote desktop protocol
• Remote services
• Phishing
• Masquerading
• 還有更多

Rhysida Ransomware 分析案例 包括旨在識別可能與 Rhysidia 相關的異常行為的檢測，Rhysidia 是一種勒索軟體，可悄悄滲透系統並採用複雜的加密策略來鎖定對關鍵檔和資料庫的訪問。

Office 365 帳戶接管 和 Office 365 持久性機制 分析案例包括用於監視活動和異常的檢測，這些活動和異常指示 Office 365 環境中潛在的初始訪問技術和持久性技術。 這些檢測還可用於幫助檢測類似於 Splunk 威脅研究團隊在此博客中介紹的最近午夜暴雪事件的攻擊。

Windows 攻擊面減少 （ASR） 分析案例 包含與 Windows ASR （Windows Defender 攻擊防護的一項功能） 相關的事件的檢測，這些事件是在行程或應用程式嘗試執行被 ASR 規則阻止的操作時生成的。 在「部署、測試、監視：在 Splunk 中使用原子技術掌握 Microsoft Defender ASR」中了解有關此內容的詳細資訊。

最後，該團隊創建了兩個新的分析案例，以幫助檢測攻擊者可能用來利用 Kubernetes 環境的策略和技術：使用 Splunk 基礎設施監控的異常 Kubernetes 行為 和 Kubernetes 安全分析案例。

概述：新興威脅分析案例
11 月，CVE-2023-47246 被確定影響 23.3.36 之前的 SysAid 本地版本。 Splunk 威脅研究團隊將檢測結果標記到新的 SysAid 本地軟體 CVE-2023-47246 漏洞分析案例中 ，以支持識別初始訪問和一些利用後活動。

此外，該團隊還創建了CISA AA23-347A分析案例 ，以幫助檢測和調查可能與俄羅斯外國情報局（SVR）採用的網路戰術和技術有關的活動 。

1 月份，我們創建了三個與新發現的漏洞相關的新分析案例。 首先，Ivanti Connect 安全 VPN 漏洞分析案例 包括分析和搜尋查詢，以支持防禦者抵禦 CVE-2023-46805 （身份驗證繞過漏洞）和 CVE-2024-21887 （命令注入漏洞）。

接下來，Confluence Data Center 和 Confluence Server 漏洞分析案例介紹了用於檢測和調查針對 Confluence Data Center 和 Confluence Server 的潛在攻擊的用例，例如 CVE-2023-22527。

最後，Jenkins 伺服器漏洞分析案例 包括有助於防禦 Jenkins 伺服器漏洞（包括 CVE-2024-2389）的檢測。
若要瞭解有關這些漏洞和檢測內容的詳細資訊，請查看以下博客：

• Security Insights: Investigating Ivanti Connect Secure Auth Bypass and RCE
• Security Insights: Tracking Confluence CVE-2023-22527
• Security Insights: Jenkins CVE-2024-23897 RCE