T1562.012: Отключение или перенастройка системы аудита Linux
Злоумышленники могут отключить или перенастроить систему аудита Linux в попытках скрыть вредоносную активность и избежать обнаружения. Администраторы Linux-систем используют систему аудита, чтобы отслеживать важную для безопасности информацию. Система аудита Linux работает на уровне ядра и ведет журналы событий активности приложений и системы, включая события процессов, сети, файлов и входа в систему, руководствуясь предварительно заданными правилами.
Часто эту систему называют auditd
по имени демона, отвечающего за запись событий на диск и управляемого параметрами, заданными в файле конфигурации audit.conf
. Два основных способа настройки правил журналирования — это утилита командной строки auditctl
и файл /etc/audit/audit.rules
, содержащий последовательность команд auditctl
, которые загружаются во время запуска системы.
С правами root злоумышленники могут предотвратить журналирование своих действий, отключив службу системы аудита, изменив файлы конфигурации/правил или перехватив функции библиотеки системы аудита. С помощью командной строки злоумышленники могут отключить службу системы аудита, завершив процессы, связанные с демоном auditd
, или остановив службу аудита через systemctl
. Злоумышленники также могут перехватить функции системы аудита, отключив ведение журнала, или изменить правила в файле /etc/audit/audit.rules
или audit.conf
так, чтобы вредоносная активность игнорировалась.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_defense_evasion: PT-CR-1654: Unix_Disable_Auditd: Отключение служб аудита на узле. Атакующие могут использовать отключение, чтобы скрыть свою активность
unix_mitre_attck_defense_evasion: PT-CR-440: Unix_Log_Config_Modify: Изменение конфигурационных файлов служб журналирования
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Monitor for missing log files from machines with known active periods. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Изменения в процессе | Описание | Using another process or third-party tools, monitor for potentially malicious modifications or access to the |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Monitor for abnormal execution of syslog and other functions associated with system logging. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Command-line invocation of the |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor changes made to the |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Routinely check account role permissions to ensure only expected users and roles have permission to modify logging settings. To ensure Audit rules can not be modified at runtime, add the |
---|
ID | M1018 | Название | Управление учетными записями | Описание | An adversary must already have root level access on the local system to make full use of this technique; be sure to restrict users and accounts to the least privileges they require. |
---|