СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.04.2025
#ИБ

Уклонение от обнаружения: угроза системы аудита Linux

Уклонение от обнаружения: угроза системы аудита Linux

Источник: www.picussecurity.com

Метод «Отключить или модифицировать систему аудита Linux», обозначенный как T1562.012 в платформе MITRE ATT&CK, представляет собой опасный инструмент, используемый хакерами для уклонения от обнаружения. Этот подход направлен на вмешательство в работу системы аудита Linux, что является критически важным аспектом безопасности, так как именно она регистрирует важные события системы.

Значение системы аудита Linux

Система аудита Linux, известная как auditd, функционирует на уровне ядра операционной системы и играет важную роль в обеспечении безопасности. Основные функции системы включают:

  • Регистрация активности пользователей;
  • Запись изменений файлов;
  • Отслеживание повышения привилегий.

Эти журналы служат основой для выявления аномалий и расследования инцидентов, однако злоумышленники могут манипулировать ими, чтобы сокрыть свои действия.

Методы злоумышленников

Злоумышленники применяют несколько стратегий для отключения или модификации системы аудита:

  • Полное отключение службы auditd, завершив связанные процессы;
  • Манипуляция конфигурационными файлами, такими как /etc/audit/audit.rules;
  • Изменение правил ведения журнала для предотвращения регистрации своих действий;
  • Подключение к библиотечным функциям системы аудита для динамического изменения поведения ведения журнала.

Примеры вредоносных программ

Одним из примеров вредоносного ПО, использующего данный метод, является SkidMap. Этот вредонос может завершить работу демона auditd с помощью специфических команд, полностью разрушая процесс ведения журнала.

Риски для специалистов по безопасности

Создавая уязвимость в контрольном журнале, злоумышленники могут действовать с пониженным риском обнаружения. Это представляет серьезную угрозу для специалистов по безопасности, занятых судебно-медицинским анализом и реагированием на инциденты. Необходимость защиты системы аудита становится более актуальной, чем когда-либо.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: