Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1562.003 - Отключение регистрации историй команд

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1562 , T1562.001 , T1562.002 , T1562.003 , T1562.004 , T1562.006 , T1562.007 , T1562.008 , T1562.009 , T1562.010 , T1562.011 , T1562.012

Злоумышленники могут нарушить регистрацию истории команд, чтобы скрыть команды, которые они выполняют на взломанной системе. Различные командные интерпретаторы отслеживают команды, которые пользователи вводят в терминале, чтобы пользователи могли проследить, что они сделали.

В Linux и macOS история команд отслеживается в файле, на который указывает переменная окружения HISTFILE. Когда пользователь выходит из системы, эта информация сбрасывается в файл в домашнем каталоге пользователя под названием ~/.bash_history. Переменная окружения HISTCONTROL отслеживает, что должно быть сохранено командой history и в конечном итоге в файл ~/.bash_history, когда пользователь выходит из системы. HISTCONTROL не существует по умолчанию в macOS, но может быть установлена пользователем и будет соблюдена.

Злоумышленники могут очистить переменную окружения history (unset HISTFILE) или установить размер истории команд равным нулю (export HISTFILESIZE=0), чтобы предотвратить запись команд в журнал. Кроме того, HISTCONTROL можно настроить на игнорирование команд, начинающихся с пробела, просто установив значение "ignorespace". HISTCONTROL также можно настроить на игнорирование дублирующихся команд, установив значение "ignoredups". В некоторых системах Linux по умолчанию установлено значение "ignoreboth", которое охватывает оба предыдущих примера. Это означает, что команда " ls" не будет сохранена, но команда "ls" будет сохранена в истории. Злоумышленники могут злоупотреблять этим, чтобы работать, не оставляя следов, просто добавляя пробел ко всем своим командам терминала.

В системах Windows модуль PSReadLine отслеживает команды, используемые во всех сеансах PowerShell, и записывает их в файл ($env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt по умолчанию). Злоумышленники могут изменить место сохранения этих журналов с помощью Set-PSReadLineOption -HistorySavePath {File Path}. Это приведет к тому, что ConsoleHost_history.txt перестанет получать журналы. Кроме того, можно отключить запись логов в этот файл с помощью команды PowerShell Set-PSReadlineOption -HistorySaveStyle SaveNothing.(Цитата: Microsoft PowerShell Command History)(Цитата: Sophos PowerShell command audit)(Цитата: Sophos PowerShell Command History Forensics)

Злоумышленники также могут использовать Network Device CLI на сетевых устройствах для отключения регистрации исторических команд (например, no logging).

https://attack.mitre.org/techniques/T1562/003

← Назад

Визуализация смежных техник для T1562.003

Отрасль:
 с подтехниками
Техника

Закрыть