Техники: T1562 , T1562.001 , T1562.002 , T1562.003 , T1562.004 , T1562.006 , T1562.007 , T1562.008 , T1562.009 , T1562.010 , T1562.011 , T1562.012
Злоумышленники могут отключить или модифицировать систему аудита Linux, чтобы скрыть вредоносную деятельность и избежать обнаружения. Администраторы Linux используют систему Linux Audit для отслеживания важной для безопасности информации в системе. Система аудита Linux работает на уровне ядра и ведет журналы событий активности приложений и системы, таких как события процессов, сети, файлов и входа в систему, на основе предварительно настроенных правил.
Часто называемый `auditd`, это имя демона, используемого для записи событий на диск и управляемого параметрами, установленными в конфигурационном файле `audit.conf`.Два основных способа настройки правил генерации журнала - это утилита командной строки `auditctl` и файл `/etc/audit/audit.rules`, содержащий последовательность команд `auditctl`, загружаемых при загрузке.(Цитата: Red Hat System Auditing)(Цитата: IzyKnows auditd threat detection 2022)
Обладая правами root, злоумышленники могут гарантировать, что их действия не будут записываться в журнал, отключив службу системы Audit, отредактировав файлы конфигурации/правил или подключив функции библиотеки системы Audit. Используя командную строку, злоумышленники могут отключить службу Audit через уничтожение процессов, связанных с демоном `auditd`, или использовать `systemctl` для остановки службы Audit.Злоумышленники также могут подключить системные функции Audit, чтобы отключить ведение журнала или изменить правила, содержащиеся в файлах `/etc/audit/audit.rules` или `audit.conf`, чтобы игнорировать вредоносную активность.(цит. по: Trustwave Honeypot SkidMap 2023)(цит. по: ESET Ebury Feb 2014)
https://attack.mitre.org/techniques/T1562/012
Визуализация смежных техник для T1562.012
| № | Техника |
|---|
