Feature/bits openvpn

[d3f0x0]

Добавлен набор правил корреляции и нормализации для обнаружения действий с BITS.

Правила корреляции:

• Create_bits_job_and_download - правило обнаруживает завершенную цепочку событий BITS от создания задачи до ее завершения
• Create_bits_job_cmdline - правило обнаруживает взаимодействие с BITS на основе аргументов коммандой строки и командлетов powershell
• Create_bits_job_suspicious_process - правило обнаруживает создание задачи BITS подозрительным процессом (не из ТС BITS_process_whitelist)
• Download_file_via_bits - правило обнаруживает загрузку файлов на локальную систему на основе, создания временного файла
• Used_bits_over_custom_binary - правило обнаруживает взаимодействие с BITS, основываясь на загружаемых модулях
• Windows_defender_BITS_alert - правило обнаруживает взаимодействие с BITS, основываясь на алерте Windows Defender

Табличный список:

• BITS_process_whitelist - белый список для Create_bits_job_suspicious_process

Правила нормализации:

• 3_Bits_created_job
• 4_Bits_finished_job
• 5_Bits_cancel_job
• 59_Bits_started_job
• 60_Bits_stop_job
• 1116_MalwareProtection_State_Malware_Detected

Подробное описание использования BITS хакерами и способов их обнаружения будет в статье на https://xakep.ru/

Resolve #11

[d3f0x0]

Описание атак и правил https://xakep.ru/2024/09/06/bits-misuse/