T1070.002: Очистка системных журналов Linux или Mac
Злоумышленники могут очищать системные журналы для скрытия следов атаки. В macOS и Linux в системных журналах хранятся сведения о действиях системы и пользователей. Большая часть системных журналов хранится в каталоге /var/log/
. Во вложенных каталогах журналы категоризированы по функциям, а именно:
/var/log/messages:
: сообщения общего характера и системные сообщения;/var/log/secure
или/var/log/auth.log
: журналы аутентификации;/var/log/utmp
или/var/log/wtmp
: записи о входе в систему;/var/log/kern.log
: журналы ядра;/var/log/cron.log
: журналы crond;/var/log/maillog
: журналы почтового сервера;/var/log/httpd/
: журналы посещений и ошибок веб-сервера.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_defense_evasion: PT-CR-440: Unix_Log_Config_Modify: Изменение конфигурационных файлов служб журналирования
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте нетипичные случаи удаления системных журналов, которые обычно хранятся в каталоге |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте неожиданные изменения в правах доступа и атрибутах файлов в журналах системы, которые обычно хранятся в каталоге |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для удаления или перезаписи системных журналов. |
---|
Меры противодействия
ID | M1029 | Название | Удаленное хранение данных | Описание | Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий. |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | Обфусцируйте/шифруйте файлы событий на месте и при передаче, чтобы не дать злоумышленнику обратную связь. |
---|