T1070.003: Очистка истории команд
Помимо очистки системных журналов, злоумышленники могут очистить историю команд скомпрометированной учетной записи для скрытия действий, совершенных во время атаки. Различные интерпретаторы командной строки регистрируют команды, введенные в терминале, чтобы пользователи могли просмотреть или повторить их при необходимости.
В Linux и macOS доступ к истории команд можно получить различными способами. История команд пользователя, вошедшего в систему, регистрируется в файле, на который указывает переменная окружения HISTFILE
. Когда пользователь выходит из системы, эта информация сбрасывается в файл ~/.bash_history
, расположенный в домашнем каталоге пользователя. Преимущество этого метода заключается в том, что пользователи могут вернуться к командам, которые они использовали во время предыдущих сеансов.
Злоумышленники могут удалить команды пользователей из этих журналов, вручную очистив историю (history -c
) или удалив файл истории команд bash: rm ~/.bash_history
.
Для удаления истории команд с сетевых устройств злоумышленники также могут использовать интерпретаторы командной строки сетевых устройств (командыclear logging
и (или) clear history
).
В PowerShell на узлах под управлением Windows есть два источника истории команд: встроенная функция сохранения истории и модуль PSReadLine
. Встроенная функция сохраняет только команды, введенные во время текущего сеанса. Эта история команд недоступна для других сеансов и удаляется при завершении текущего сеанса.
Модуль PSReadLine
отслеживает команды, введенные во время всех сеансов PowerShell, и записывает их в файл (по умолчанию$env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
). Этот файл истории доступен для всех сеансов и содержит всю историю команд, поскольку он не удаляется при завершении сеанса.
Команда PowerShell Clear-History
удаляет всю историю команд текущего сеанса PowerShell. Тем не менее это не приводит к удалению или очистке файла ConsoleHost_history.txt
. Злоумышленники могут также удалить файл ConsoleHost_history.txt
или изменить его содержимое для скрытия выполненных ими команд PowerShell.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_defense_evasion: PT-CR-1659: Unix_Clear_Command_History: Очистка истории команд
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте подозрительные процессы, которые могут очищать историю команд скомпрометированной учетной записи, чтобы скрыть следы атаки. Аналитика 1. Очистка истории команд в консоли PowerShell
|
---|
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте нетипичные случаи удаления файлов с историей команд пользователя, включая ConsoleHost_history.txt, ~/.zsh_history и ~/.bash_history. Аналитика 1. Удаление файлов с историей команд пользователя
|
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте неожиданные изменения в содержимом, правах доступа и атрибутах файлов с историей команд, включая ConsoleHost_history.txt, ~/.zsh_history и ~/.bash_history. Аналитика 1. Изменение прав доступа для файлов с историей команд
|
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для очистки истории команд, например Аналитика 1. Команды PowerShell
|
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Отслеживайте попытки доступа к сети или вычислительным ресурсам со стороны пользователей, в том числе путем предоставления учетных данных через удаленные службы терминалов, особенно если эти попытки не отражены в файле истории команд. |
---|
Меры противодействия
ID | M1039 | Название | Предотвращение изменения переменных окружения | Описание | Если сделать переменные окружения, связанные с историей команд, доступными только для чтения, это может гарантировать сохранность истории. |
---|
ID | M1029 | Название | Удаленное хранение данных | Описание | Передавайте журнальные или исторические данные в удаленное хранилище данных и решение для централизованной журнализации для сохранения исторических данных журнала командной строки. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Запрет на удаление или запись определенных файлов может помешать злоумышленникам злонамеренно изменять файлы |
---|