跳转至

T1027-005-linux-主机上的监测组件删除

来自ATT&CK的描述

攻击者可能会删除或更改主机系统上生成的记录,包括日志和可能捕获的文件,例如隔离的恶意软件。日志的位置和格式会有所不同,但攻击者的操作行为都会被操作系统进行记录,比如典型的windows日志、linux和Mac的bash历史记录或者/var/log下的日志文件。

攻击者干扰事件的记录,可以破坏安全设备的检测与告警,从而导致恶意攻击事件未被通报。由于缺乏足够的数据来确定发生的异常情况,还可能使安全人员的分析和事件响应更加困难。

测试案例

rm -rf /var/log/*

检测日志

linux audit日志 (值得注意的是:Ubuntu默认情况下没有audit,需要下载安装并配置相关策略)

bash历史记录

测试复现

icbc@icbc:/$ sudo rm -r /var/log/icbc.log

测试留痕

基于audit日志

暂无

基于bash历史记录

icbc@icbc:/$ history

20 sudo rm -r /var/log/icbc.log (注意这里删除的是测试log文件)

检测规则/思路

splunk检测规则

基于audit日志

index=linux sourcetype=linux_audit syscall=263 | table host,auid,uid,euid,exe,key index=linux sourcetype=linux_audit type=PATH name=*.log nametype=delete

基于bash历史记录

index=linux sourcetype="bash_history" rm * .log | table host, user_name, bash_command

建议

暂无

参考推荐

MITRE-ATT&CK-T1027-005

https://attack.mitre.org/techniques/T1027/005/