OSW#2: Task-5

[aw350m33d]

OSW#2: Task-5

В логе событий в ОС имеется аномалия в запуске процессов. Необходимо определить эту аномалию и написать детектирующее правило.

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

• [ ] Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.

  Если ты до этого не участвовал в спринтах Open Security Week, то напиши комментарий к этой задаче: "Беру эту задачу" и жди когда тебя добавят в группу для выдачи прав на редактирование issues. Это нужно чтобы иметь возможность назначать задачи на себя.

• [ ] Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
• [ ] Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
• [ ] Изучи атаку, события для которой сохранены в файле с событиями. Пойми как устроена атака, и сопоставь это с теми событиями, которые находятся в файле.
• [ ] Открой локальную копию своего форка репозитория с правилами в VSCode.
• [ ] Сразу отведи ветку под разработку текущего правила: git checkout -b feature/OSW-2-Task-5.
• [ ] Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
• [ ] Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер: git add * git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>" git push --set-upstream origin feature/OSW-2-Task-5
• [ ] Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку master. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
• [ ] Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub

[Protenil]

Беру эту задачу

[aw350m33d]

Беру эту задачу

Отправил приглашение в группу. После вступления можно будет назначить задачу на себя.

[aw350m33d]

@Protenil, привет!

Отправил тебе приглашение в группу. Подскажи, планируешь его принять и назначить задачу на себя?

[Protenil]

@aw350m33d, привет! Да, приглашение принял, задачу планирую на себя взять, но пока кнопки назначить себя не появилось.

[aw350m33d]

Сверху справа не появилась опция assign yourself как на скрине?

[aw350m33d]

Привет! Вижу, что по задаче нет изменений. Может быть есть вопросы или нужна какая-то помощь?

[Protenil]

Привет! Вижу, что по задаче нет изменений. Может быть есть вопросы или нужна какая-то помощь?

Привет, есть вопросик по нормализации, насколько знаю уже есть правила нормализации или просто regex-ом разбираем?

[Keks1993]

Привет. Нормализации здесь /packages/system/normalization_formulas/MacOS/es-logger

[Protenil]

Хотел уточнить по задаче, интересно услышать мнение о целесообразности включения в правило корелляции следующего подхода: "Выделить директории и сделать корреляцию на необычные subject.process.name".

[Keks1993]

Можно поподробнее, что подразумевается под этим подходом?

[Protenil]

Я, кажется, сначала неправильно определил анамалию. Суть была в том, что правило корелляции бы срабатывало бы при выполнении процесса каким-то подозрительным субъектом, а не к примереу zsh, но теперь понял что аномалия тут в child и parent процесах.

[Keks1993]

Нет, вам дать подсказку?

[Protenil]

Нет, вам дать подсказку?

Да, она бы очень помогла

[Keks1993]

В unix-системах скрытые файлы и каталоги начинаются с точки, например, /dir/.anotherDir или /dir/.file, соответственно, запуск исполняемых файлов по таким путям выглядят подозрительно.