MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1562.012: Отключение или перенастройка системы аудита Linux

Злоумышленники могут отключить или перенастроить систему аудита Linux в попытках скрыть вредоносную активность и избежать обнаружения. Администраторы Linux-систем используют систему аудита, чтобы отслеживать важную для безопасности информацию. Система аудита Linux работает на уровне ядра и ведет журналы событий активности приложений и системы, включая события процессов, сети, файлов и входа в систему, руководствуясь предварительно заданными правилами.

Часто эту систему называют auditd по имени демона, отвечающего за запись событий на диск и управляемого параметрами, заданными в файле конфигурации audit.conf. Два основных способа настройки правил журналирования — это утилита командной строки auditctl и файл /etc/audit/audit.rules, содержащий последовательность команд auditctl, которые загружаются во время запуска системы.

С правами root злоумышленники могут предотвратить журналирование своих действий, отключив службу системы аудита, изменив файлы конфигурации/правил или перехватив функции библиотеки системы аудита. С помощью командной строки злоумышленники могут отключить службу системы аудита, завершив процессы, связанные с демоном auditd, или остановив службу аудита через systemctl. Злоумышленники также могут перехватить функции системы аудита, отключив ведение журнала, или изменить правила в файле /etc/audit/audit.rules или audit.conf так, чтобы вредоносная активность игнорировалась.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_defense_evasion: PT-CR-1654: Unix_Disable_Auditd: Отключение служб аудита на узле. Атакующие могут использовать отключение, чтобы скрыть свою активность
unix_mitre_attck_defense_evasion: PT-CR-440: Unix_Log_Config_Modify: Изменение конфигурационных файлов служб журналирования

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Monitor for missing log files from machines with known active periods.

IDDS0009Источник и компонент данныхПроцесс: Изменения в процессеОписание

Using another process or third-party tools, monitor for potentially malicious modifications or access to the auditd system process.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Monitor for abnormal execution of syslog and other functions associated with system logging.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Command-line invocation of the auditctl utility may be unusual, depending on how systems are typically used in a particular environment. At runtime, look for commands to modify or create rules using the auditctl utility.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor changes made to the /etc/audit/audit.rules file containing the sequence of auditctl commands loaded at boot time.

Меры противодействия

IDM1047НазваниеАудитОписание

Routinely check account role permissions to ensure only expected users and roles have permission to modify logging settings.

To ensure Audit rules can not be modified at runtime, add the auditctl -e 2 as the last command in the audit.rules files. Once started, any attempt to change the configuration in this mode will be audited and denied. The configuration can only be changed by rebooting the machine.

IDM1018НазваниеУправление учетными записямиОписание

An adversary must already have root level access on the local system to make full use of this technique; be sure to restrict users and accounts to the least privileges they require.