T1070.002: Очистка системных журналов Linux или Mac
Злоумышленники могут очищать системные журналы для скрытия следов атаки. В macOS и Linux в системных журналах хранятся сведения о действиях системы и пользователей. Большая часть системных журналов хранится в каталоге /var/log/
. Во вложенных каталогах журналы категоризированы по функциям, а именно:
/var/log/messages:
: сообщения общего характера и системные сообщения;/var/log/secure
или/var/log/auth.log
: журналы аутентификации;/var/log/utmp
или/var/log/wtmp
: записи о входе в систему;/var/log/kern.log
: журналы ядра;/var/log/cron.log
: журналы crond;/var/log/maillog
: журналы почтового сервера;/var/log/httpd/
: журналы посещений и ошибок веб-сервера.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_defense_evasion: PT-CR-440: Unix_Log_Config_Modify: Изменение конфигурационных файлов служб журналирования
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Monitor for unexpected deletion of a system log file, typically stored in /var/logs or /Library/Logs. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments for actions that could be taken to remove or overwrite system logs. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor for changes made to system log files, typically stored in /var/log or /Library/Logs, for unexpected modifications to access permissions and attributes |
---|
Меры противодействия
ID | M1029 | Название | Удаленное хранение данных | Описание | Automatically forward events to a log server or data repository to prevent conditions in which the adversary can locate and manipulate data on the local system. When possible, minimize time delay on event reporting to avoid prolonged storage on the local system. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Protect generated event files that are stored locally with proper permissions and authentication and limit opportunities for adversaries to increase privileges by preventing Privilege Escalation opportunities. |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | Obfuscate/encrypt event files locally and in transit to avoid giving feedback to an adversary. |
---|