Конкретные техники атак, а не общий EDR. Готовые правила, готовое реагирование, готовая проверка на тестовом хосте.
Reverse shell, SSH brute-force, закрепление через cron и authorized_keys, инъекции в процессы.
Ловит shell-процессы (bash, sh, zsh), устанавливающие исходящие сетевые соединения — техника #1 пост-эксплуатации.
Stateful-детекция повторных неудачных SSH-входов с одного IP во временном окне, с логикой cooldown.
Алерт на создание cron-задач в /etc/cron.* и /var/spool/cron/ не-системными процессами.
Алерт на запись в любой файл .ssh/authorized_keys процессами, кроме ssh-copy-id.
Детект кросс-процессной записи в память через process_vm_writev — используется инструментами инъекции для записи shellcode в другие процессы.
memfd_create с последующим exec из /proc/self/fd или /memfd: — основной вектор fileless malware на Linux.
От первой sshd-сессии до исходящего соединения и payload-файла в /tmp — все события связаны в одну ленту с фазами kill chain.
sshd → bash → curl → bash -i >&/dev/tcp/... — каждая ветка подсвечена, IOC прикреплены к узлам.
Большинство open-source инструментов останавливаются на сборе событий. SecureExec замыкает цикл.
При обнаружении угрозы ваша команда может изолировать хост, уничтожить дерево процессов или заблокировать исполняемый файл — всё из веб-консоли. Без SSH, без ручных действий.
В безопасной изолированной VM. Проверяем работу детекта, а не учим атаке.
Проверьте детект reverse shell, SSH brute-force и persistence на своих серверах.