T1552.003: История команд bash
Злоумышленники могут искать недостаточно надежно защищенные учетные данные в истории команд bash скомпрометированных систем. В bash с историей команд, которые пользователи вводят в командной строке, работает утилита history. Как только пользователь выходит из системы, история команд сохраняется в его файл .bash_history. У каждого пользователя файлы истории команд хранятся в одном и том же расположении: ~/.bash_history. Как правило, такой файл содержит последние 500 команд, введенных пользователем. Запуская программы из командной строки, пользователи часто вводят свои логины и пароли в качестве параметров, которые сохраняются в этом файле после выхода пользователя из системы. Получив доступ к файлу истории, злоумышленники могут воспользоваться этими данными .
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_cred_access: PT-CR-1691: Unix_History_File_Read: Чтение файлов ОС Unix, содержащих историю команд
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживание попыток чтения файла |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Пользователи нередко полагаются на историю команд, но обращаются к ней обычно через другие утилиты (например, history), а не команды формата |
|---|
Меры противодействия
| ID | M1028 | Название | Изменение конфигурации ОС | Описание | Существует несколько способов предотвратить запись истории команд пользователя в его файл .bash_history, включая использование следующих команд:
|
|---|