Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Уклонение от обнаружения: угроза системы аудита Linux

8
1 мин
Метод «Отключить или модифицировать систему аудита Linux», обозначенный как T1562.012 в платформе MITRE ATT&CK, представляет собой опасный инструмент, используемый хакерами для уклонения от обнаружения. Этот подход направлен на вмешательство в работу системы аудита Linux, что является критически важным аспектом безопасности, так как именно она регистрирует важные события системы. Система аудита Linux, известная как auditd, функционирует на уровне ядра операционной системы и играет важную роль в обеспечении безопасности. Основные функции системы включают: Эти журналы служат основой для выявления аномалий и расследования инцидентов, однако злоумышленники могут манипулировать ими, чтобы сокрыть свои действия. Злоумышленники применяют несколько стратегий для отключения или модификации системы аудита: Одним из примеров вредоносного ПО, использующего данный метод, является SkidMap. Этот вредонос может завершить работу демона auditd с помощью специфических команд, полностью разрушая процесс в
Оглавление
Источник: www.picussecurity.com
Источник: www.picussecurity.com

Метод «Отключить или модифицировать систему аудита Linux», обозначенный как T1562.012 в платформе MITRE ATT&CK, представляет собой опасный инструмент, используемый хакерами для уклонения от обнаружения. Этот подход направлен на вмешательство в работу системы аудита Linux, что является критически важным аспектом безопасности, так как именно она регистрирует важные события системы.

Значение системы аудита Linux

Система аудита Linux, известная как auditd, функционирует на уровне ядра операционной системы и играет важную роль в обеспечении безопасности. Основные функции системы включают:

  • Регистрация активности пользователей;
  • Запись изменений файлов;
  • Отслеживание повышения привилегий.

Эти журналы служат основой для выявления аномалий и расследования инцидентов, однако злоумышленники могут манипулировать ими, чтобы сокрыть свои действия.

Методы злоумышленников

Злоумышленники применяют несколько стратегий для отключения или модификации системы аудита:

  • Полное отключение службы auditd, завершив связанные процессы;
  • Манипуляция конфигурационными файлами, такими как /etc/audit/audit.rules;
  • Изменение правил ведения журнала для предотвращения регистрации своих действий;
  • Подключение к библиотечным функциям системы аудита для динамического изменения поведения ведения журнала.

Примеры вредоносных программ

Одним из примеров вредоносного ПО, использующего данный метод, является SkidMap. Этот вредонос может завершить работу демона auditd с помощью специфических команд, полностью разрушая процесс ведения журнала.

Риски для специалистов по безопасности

Создавая уязвимость в контрольном журнале, злоумышленники могут действовать с пониженным риском обнаружения. Это представляет серьезную угрозу для специалистов по безопасности, занятых судебно-медицинским анализом и реагированием на инциденты. Необходимость защиты системы аудита становится более актуальной, чем когда-либо.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Уклонение от обнаружения: угроза системы аудита Linux".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Операционная система Linux
9688 интересуются