Przeglądając na bieżąco raporty odnośnie szkodliwego systemu przeznaczonego dla systemów Linux – można dojść do wniosku, iż wszystkie warianty można połączyć poprzez wykrywanie poleceń curl lub wget ściągających ładunek z publicznego adresu IP:
=~ (curl|wget).*(https?:\/\/)?(\b25[0-5]|\b2[0-4][0-9]|\b[01]?[0-9][0-9]?) (\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){3}(:[0-9]+)?\/.+.*W celu wykluczenia fałszywych alarmów (szczególnie w centrach danych) można połączyć to z regułą, która wykluczy komunikację w ramach lokalnych sieci:
!=~ (curl|wget).*(https?:\/\/)?((127(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){3})| (10(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){3})| (192\.168(?:\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){2})| (172\.(?:1[6-9]|2\d|3[0-1])(?:\.(25[0-5]|2[0-4][0-9]| [01]?[0-9][0-9]?)){2}|169\.254\.169\.254|0\.0\.0\.0))(:[0-9]+)?\/.+.*Więcej informacji: How Malicious Actors Abuse Native Linux Tools in Attacks, Log4j Attack Payloads In The Wild, Triaging a Malicious Docker Container, Attackers exploit CVE-2021-26084 for XMRig crypto mining on affected Confluence servers, Technical Advisory: Zero-day critical vulnerability in Log4j2 exploited in the wild, DreamBus Botnet – Technical Analysis, Threat Alert: Kinsing Malware Attacks Targeting Container Environments
