T1562.012: Отключение или перенастройка системы аудита Linux

Злоумышленники могут отключить или перенастроить систему аудита Linux в попытках скрыть вредоносную активность и избежать обнаружения. Администраторы Linux-систем используют систему аудита, чтобы отслеживать важную для безопасности информацию. Система аудита Linux работает на уровне ядра и ведет журналы событий активности приложений и системы, включая события процессов, сети, файлов и входа в систему, руководствуясь предварительно заданными правилами.

Часто эту систему называют auditd по имени демона, отвечающего за запись событий на диск и управляемого параметрами, заданными в файле конфигурации audit.conf. Два основных способа настройки правил журналирования — это утилита командной строки auditctl и файл /etc/audit/audit.rules, содержащий последовательность команд auditctl, которые загружаются во время запуска системы.

С правами root злоумышленники могут предотвратить журналирование своих действий, отключив службу системы аудита, изменив файлы конфигурации/правил или перехватив функции библиотеки системы аудита. С помощью командной строки злоумышленники могут отключить службу системы аудита, завершив процессы, связанные с демоном auditd, или остановив службу аудита через systemctl. Злоумышленники также могут перехватить функции системы аудита, отключив ведение журнала, или изменить правила в файле /etc/audit/audit.rules или audit.conf так, чтобы вредоносная активность игнорировалась.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_defense_evasion: PT-CR-1654: Unix_Disable_Auditd: Отключение служб аудита на узле. Атакующие могут использовать отключение, чтобы скрыть свою активность unix_mitre_attck_defense_evasion: PT-CR-440: Unix_Log_Config_Modify: Изменение конфигурационных файлов служб журналирования

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте аномальное выполнение syslog и других функций, используемых системным журналом.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения в файле `/etc/audit/audit.rules`, содержащем последовательность команд `auditctl`, которые загружаются во время запуска системы.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	В некоторых средах запуск утилиты `auditctl` через командную строку может быть подозрительным. Отслеживайте во время выполнения команды, которые используются для изменения или создания правил с помощью утилиты `auditctl`.

ID	DS0022	Источник и компонент данных	Файл: Удаление файла	Описание	Отслеживайте недостающие файлы журналов для машин, которые находились в активной работе.

ID	DS0009	Источник и компонент данных	Процесс: Изменения в процессе	Описание	Используя другой процесс или сторонние инструменты, отслеживайте потенциально вредоносные изменения или обращения к системному процессу `auditd`.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Вызовы API ОС	Отслеживайте аномальное выполнение syslog и других функций, используемых системным журналом.
DS0022	Файл: Изменение файла	Отслеживайте изменения в файле `/etc/audit/audit.rules`, содержащем последовательность команд `auditctl`, которые загружаются во время запуска системы.
DS0017	Команда: Выполнение команд	В некоторых средах запуск утилиты `auditctl` через командную строку может быть подозрительным. Отслеживайте во время выполнения команды, которые используются для изменения или создания правил с помощью утилиты `auditctl`.
DS0022	Файл: Удаление файла	Отслеживайте недостающие файлы журналов для машин, которые находились в активной работе.
DS0009	Процесс: Изменения в процессе	Используя другой процесс или сторонние инструменты, отслеживайте потенциально вредоносные изменения или обращения к системному процессу `auditd`.

Меры противодействия

ID	M1047	Название	Аудит	Описание	Регулярно проверяйте разрешения ролей учетных записей, чтобы убедиться, что право изменять настройки протоколирования имеют только те пользователи и роли, которым это требуется. Чтобы правила аудита не могли быть изменены во время выполнения, добавьте команду `auditctl -e 2` в качестве последней команды в файлы audit.rules. После запуска любая попытка изменить конфигурацию в этом режиме будет проверена и отклонена. Конфигурация может быть изменена только при перезагрузке машины.

ID	M1018	Название	Управление учетными записями	Описание	Чтобы в полной мере воспользоваться этой техникой, у злоумышленника должен быть доступ к локальной системе на уровне root. Ограничьте доступ пользователей и учетных записей по принципу минимальных привилегий.

ID	Название	Описание
M1047	Аудит	Регулярно проверяйте разрешения ролей учетных записей, чтобы убедиться, что право изменять настройки протоколирования имеют только те пользователи и роли, которым это требуется. Чтобы правила аудита не могли быть изменены во время выполнения, добавьте команду `auditctl -e 2` в качестве последней команды в файлы audit.rules. После запуска любая попытка изменить конфигурацию в этом режиме будет проверена и отклонена. Конфигурация может быть изменена только при перезагрузке машины.
M1018	Управление учетными записями	Чтобы в полной мере воспользоваться этой техникой, у злоумышленника должен быть доступ к локальной системе на уровне root. Ограничьте доступ пользователей и учетных записей по принципу минимальных привилегий.