Linux Auditd: правила корреляции

RV-D-786

Большое количество подозрительных команд

Правило предназначено для выявления выполнения большого числа команд за короткий промежуток времени, что характерно для действий атакующего на этапе разведки. При первом подключении к хосту атакующий стремится получить максимум информации о системе, используя стандартные утилиты Linux. При срабатывании данного правила следует опросить пользователя, инициирующего активность, на предмет легитимности действий. Если инцидент подтверждается, необходимо заблокировать скомпрометированную учетную запись, провести анализ событий на целевом хосте на предмет возможных действий по закреплению в инфраструктуре, выяснить точку входа атакующего и устранить уязвимости. По возможности проанализировать сетевое окружение в поисках точек закрепления или оставленных утилит.

RV-D-787

Получение информации о текущем пользователе

Информация о текущем пользователе является важной частью разведки и подготовки для атакующих. Обычно атакующий может пытаться получить данную информацию после получения доступа в результате эксплуатации уязвимости или повышения привилегий. В случае подтверждения нелегитимной активности необходимо незамедлительно изолировать хост и отключить скомпрометированную учетную запись. Далее проверить возможные пути распространения атаки и осуществить поиск изначальной причины компрометации узла и учетной записи.

RV-D-788

Разведка доменных УЗ в Linux

Атакующие могут пытаться получить список учетных записей домена в среде Linux, используя утилиты, такие как ldapsearch или ldapdomaindump. Эта информация позволяет им определить существующие учетные записи, выявить привилегированные учетные записи и подготовиться к дальнейшим атакам, таким как подбор паролей или расширение прав доступа. Правило нацелено на выявление попыток получения списка учетных записей домена в Linux с использованием команд, характерных для разведки учетных записей. Если правило срабатывает, необходимо проверить, кто инициировал выполнение команды, и оценить легитимность активности. Если действие не санкционировано, рекомендуется провести расследование, определить потенциальные цели атакующих и принять меры по защите учетных записей, включая ограничение доступа, изменение учетных данных или мониторинг последующей активности.

RV-D-789

Разведка локальных УЗ в Linux

Важно отслеживать попытки получения списка учетных записей локальной системы, так как атакующие могут использовать эту информацию для определения привилегированных пользователей, а также для последующего перебора паролей или повышения привилегий. Данное правило детектирует выполнение команд, позволяющих просмотреть локальные учетные записи, такие как просмотр файла /etc/passwd, проверка sudoers или анализ активных пользователей. При срабатывании правила рекомендуется проверить, выполнялись ли данные команды уполномоченным пользователем. Если действия выглядят подозрительными, следует провести расследование, проверить логи на предмет других аномалий и при необходимости ограничить доступ подозрительной учетной записи.

RV-D-790

Разведка установленного ПО в Linux

Атакующие могут попытаться получить список установленного или используемого программного обеспечения (ПО). Эта информация может помочь атакующим сформировать последующее поведение для развития атаки. Правило детектирует использование легитимного ПО для получения списка программ, исполняемых файлов и средств защиты. При срабатывании правила рекомендуется уточнить легитимность активности пользователя, от имени которого выполнялись операции. Если активность не подтверждается, рекомендуется сразу заблокировать учетную запись и начать расследование инцидента.

RV-D-791

Поиск локализации системы Linux

Обнаружение использования команд настроек локализации Linux. Атакующие могут использовать полученную информацию для понимания специфики образа Linux и дальнейшего продвижения в инфраструктуре. В случае подтверждения нелегитимной активности необходимо незамедлительно изолировать хост и отключить скомпрометированную учетную запись (УЗ). Далее проверить возможные пути распространения атаки и осуществить поиск изначальной причины компрометации узла/учетной записи.

RV-D-792

Поиск сетевых конфигураций

Обнаружение использования команд для поиска сетевых конфигураций на узле Linux. Атакующий, попав на хост или повысив привилегии, может попытаться разведать сетевые настройки и окружения захваченного узла. В случае подтверждения нелегитимной активности необходимо незамедлительно изолировать хост и отключить скомпрометированную учетную запись. Далее проверить возможные пути распространения атаки и осуществить поиск изначальной причины компрометации узла/учетной записи.

RV-D-793

Разведка запущенных процессов в Linux

Обнаружение использования команд для поиска процессов на узле Linux. Атакующий, попав на хост или повысив привилегии, может попытаться разведать текущие процессы узла. В случае подтверждения нелегитимной активности необходимо незамедлительно изолировать хост и отключить скомпрометированную учетную запись. Далее проверить возможные пути распространения атаки и осуществить поиск изначальной причины компрометации узла/учетной записи.

RV-D-794

Поиск окружения контейнера через proc VFS

Обнаруживает потенциальный поиск окружения контейнера с помощью списка определенных функций ядра в виртуальной файловой системе /proc. При срабатывании правила рекомендуется уточнить легитимность активности пользователя, от имени которого выполнялись операции. Если активность не подтверждается, рекомендуется сразу заблокировать учетную запись и начать расследование инцидента.

RV-D-795

Обнаружение контейнеров через Inodes Listing

Правило предназначено для обнаружения попыток определения, выполняется ли процесс внутри контейнера. Детектируется запуск команды, которая выводит номер inode (индекса) корневого каталога / с помощью утилиты ls. При срабатывании правила рекомендуется уточнить легитимность активности пользователя, от имени которого выполнялись операции. Если активность не подтверждается, рекомендуется сразу заблокировать учетную запись и начать расследование инцидента.

RV-D-796

Использование утилит для сканирования сети

Обнаруживает использование инструментов для сетевого сканирования. Эти инструменты можно использовать, например, для поиска открытых локальных или удаленных портов. При срабатывании правила рекомендуется уточнить легитимность активности пользователя, от имени которого выполнялись операции. Если активность не подтверждается, рекомендуется сразу заблокировать учетную запись и начать расследование инцидента.

RV-D-797

Разведка Docker контейнеров через Dockerenv

Обнаруживает чтение файла .dockerenv, что может быть признаком потенциального обнаружения контейнера. При срабатывании правила рекомендуется уточнить легитимность активности пользователя, от имени которого выполнялись операции. Если активность не подтверждается, рекомендуется сразу заблокировать учетную запись и начать расследование инцидента.

RV-D-798

Поиск файлов с suid/sgid битом

Биты suid/sgid выставляются на файлах в Linux. Если файл содержит данный бит, то независимо от того, кто его запускает, он будет запускаться от имени пользователя, который владеет данным файлом. Атакующие зачастую проверяют подобные файлы, так как с помощью них можно повысить привилегии. Правило обнаруживает поиск файлов с suid/sgid битом. При срабатывании правила рекомендуется уточнить легитимность активности пользователя, от имени которого выполнялись операции. Если активность не подтверждается, рекомендуется сразу заблокировать учетную запись и начать расследование инцидента.

RV-D-799

Подозрительное чтение домашней директории пользователя

Обнаружение чтения домашней директории другим пользователем. Атакующий, попав на хост под учетной записью пользователя, может попытаться читать директории других пользователей для поиска критичных файлов. В случае подтверждения нелегитимной активности необходимо незамедлительно изолировать хост и отключить скомпрометированную учетную запись. Далее проверить возможные пути распространения атаки и осуществить поиск изначальной причины компрометации узла/учетной записи.

RV-D-800

Злоупотребление сырыми сокетами

Сырые сокеты позволяют реализовать в пользовательском пространстве новые протоколы стека Ipv4. Сокеты raw принимают и передают необработанные дейтаграммы без добавления в них каких-либо заголовков. Сырые сокеты позволяют атакующим проводить атаки типа DoS или незаметно управлять руткитами. Правило обнаруживает использование сырых сокетов типа SOCK_RAW, что может быть признаком активности, связанной с перехватом или манипуляцией трафиком. Если активность была инициирована неизвестным процессом и/или в поле cmd содержится подозрительная команда, то следует начать расследование.

RV-D-801

Запуск утилиты msldapdump для разведки

Утилита msldapdump предназначена для сбора информации из службы LDAP. Она часто используется для аудита Active Directory (AD), так как LDAP является одним из ключевых протоколов, который AD использует для организации и хранения данных. Атакующие могут использовать утилиту msldapdump для разведки и сбора информации о структуре и объектах Active Directory (AD) с целью подготовки атак на сеть или системы организации. При срабатывании данного правила рекомендуется немедленно проверить учетную запись и действия пользователя, запустившего команду. При подтверждении нелегитимной активности заблокировать УЗ инициатора и провести расследование на предмет возможной компрометации системы.

RV-D-802

Разведка парольной политики в Linux

Атакующие на этапе разведки могут получить доступ к сведениям о политике паролей, используемой локально или в корпоративной сети. Политики паролей — это способ принудительного использования сложных паролей, которые трудно угадать или взломать с помощью атаки Brute Force. Полученная информация может помочь атакующему создать список распространенных паролей и запустить атаки Brute Force, которые соответствуют установленной политике. При регистрации события требуется изучить активность учетной записи. В случае выявления признаков компрометации произвести ее блокировку и изоляцию хоста.

RV-D-803

Разведка системной информации Linux

Когда атакующие получают доступ к инфраструктуре, они начинают собирать информацию о системе. Это включает в себя получение сведений о конфигурации системы. В случае с Linux-устройствами атакующие могут получить такую информацию, как версии операционной системы, установленные пакеты, аппаратное обеспечение и другие параметры конфигурации. Эти сведения могут помочь им в дальнейших действиях, например, при попытке проникновения или проведении атаки.

RV-D-804

Получена информация о системных службах на узле

Правило обнаруживает получение информации о системных службах на узле с помощью утилит systemctl, services и использования характерных ключей или с помощью чтения директорий, содержащих список сервисов. Эта информация необходима для формирования последующих действий атакующими. В случае обнаружения нелегитимной активности рекомендуется изолировать хост от локальной сети, проверить, откуда было произведено подключение, убедиться, что не были скомпрометированы другие узлы в сети. После этого сбросить пароли учетных записей, обновить сертификаты, провести внутреннее расследование с целью установления возможных методов закрепления в системе и причин возникновения инцидента.

RV-D-805

Извлечение содержимого буфера в Linux

Атакующие могут использовать утилиты copyq, xclip, xsel и wl-paste для кражи данных из буфера обмена в системах Linux. Это правило отслеживает попытки запуска данных утилит с параметрами, указывающими на обращение к буферу обмена, что может свидетельствовать о попытках эксфильтрации данных. При срабатывании правила рекомендуется проверить легитимность действий пользователя, инициировавшего команду, и при выявлении подозрительной активности — принять меры для предотвращения дальнейшего сбора и передачи данных, а также провести расследование для выявления возможной компрометации системы.

RV-D-806

Чтение критичных файлов Linux

Правило обнаруживает чтение критичных файлов на узле Linux, в которых хранятся учетные данные и данные конфигурации системы. Атакующий, попав на хост, может попытаться прочитать данные файлы для дальнейшей эскалации атаки. В случае подтверждения нелегитимной активности рекомендуется изолировать хост, заблокировать пользователя, проверить, откуда было произведено подключение, убедиться, что не были скомпрометированы другие узлы и пользователи. После этого сбросить пароли учетных записей, обновить сертификаты, провести внутреннее расследование с целью установления возможных методов закрепления в системе и причин возникновения инцидента.

RV-D-807

Загрузка файлов с удаленных ресурсов стандартными утилитами

Для развития атаки атакующие могут доставлять файлы с удаленных ресурсов. В целях маскировки и обхода политики безопасности для загрузки используются легитимные утилиты, которые предустановлены в системе по умолчанию или могут быть доставлены иным способом. В случае возникновения активности необходимо определить, к какому ресурсу осуществляется обращение. Если ресурс имеет признаки нелегитимности, необходимо опросить пользователя, ответственного за учетную запись (УЗ) инициатора активности, на предмет легитимности данной загрузки. Если легитимность загрузки подтвердить не удалось, необходимо заблокировать УЗ инициатора активности на время проведения расследования.

RV-D-808

Использование утилиты SSHuttle для создания SSH-туннеля

Атакующие могут использовать туннелирование для сетевого взаимодействия с целевыми системами, чтобы избежать обнаружения или сетевой фильтрации и (или) получить доступ к недоступным другими способами системам. Правило детектирует попытки использования на устройстве SSHuttle, написанной на Python. SSHuttle - это утилита для создания прокси и пересылки пакетов через ssh. При обнаружении активности рекомендуется определить легитимность использования инструмента. Если легитимность подтвердить не удалось, необходимо изолировать хост и заблокировать учетную запись, активность которой выявлена.

RV-D-809

Загрузка файлов утилитой wget в директорию tmp

Правило направлено на обнаружение использования wget для загрузки файлов во временные директории, такие как /tmp или /var/tmp. При обнаружении активности рекомендуется определить легитимность загрузки файлов и их источника. Если легитимность подтвердить не удалось, необходимо изолировать хост и заблокировать учетную запись, активность которой выявлена.

RV-D-810

Отключение или модификация Syslog Linux

Служба Syslog является одним из основных инструментов для отслеживания событий безопасности. Атакующие, получившие доступ к системе, могут попытаться отключить службу Syslog или изменить ее конфигурацию с целью скрыть свою активность. При срабатывании данного правила необходимо связаться с владельцем учетной записи (УЗ), от имени которой произошло событие, для уточнения легитимности действий. Если действия не подтверждены владельцем, необходимо заблокировать скомпрометированную УЗ и закрыть все ее активные сессии, а также восстановить работу службы Syslog.

RV-D-811

Отключение службы firewalld

Отключение брандмауэра может позволить атакующим получить доступ к системе через открытые порты, что может привести к компрометации данных или установке вредоносного ПО. При срабатывании данного правила необходимо связаться с владельцем учетной записи, от имени которой произошло событие, для уточнения легитимности действий. Если действия не подтверждены владельцем, необходимо заблокировать скомпрометированную УЗ и восстановить работу firewalld.

RV-D-868

Отключение службы Auditd

Атакующие могут отключить систему аудита Linux, чтобы скрыть вредоносную активность и избежать обнаружения. Система аудита Linux работает на уровне ядра и ведет журналы событий для приложений и системной активности, такой как события процессов, сети, файлов и входа в систему, на основе предварительно настроенных правил. При срабатывании данного правила необходимо связаться с владельцем учетной записи, от имени которой произошло событие, для уточнения легитимности действий. Если действия не подтверждены владельцем, необходимо заблокировать скомпрометированную УЗ и восстановить работу службы Auditd.

RV-D-869

Добавление файла в расширения браузера Linux

Данное правило направлено на обнаружение подозрительных действий, связанных с добавлением файлов в директорию расширений браузера в операционной системе Linux. Такие действия могут быть использованы атакующим для установки вредоносных или нежелательных расширений, которые могут изменять поведение браузера, собирать конфиденциальные данные пользователя или выполнять другие вредоносные операции. В случае срабатывания правила необходимо запросить информацию о причинах активности у ответственного за учетную запись. Если подтверждения легитимности не последовало, рекомендуется временно заблокировать учетную запись, ограничить доступ к узлу, с которого произошли подозрительные действия, и инициировать внутреннее расследование.

RV-D-870

Добавление расширения в браузер через CLI Linux

Данное правило направлено на обнаружение подозрительных действий, связанных с добавлением расширений в браузер с использованием командной строки (CLI) в операционной системе Linux. Такие действия могут быть использованы атакующим для автоматизированной установки вредоносных или нежелательных расширений, которые могут изменять поведение браузера, собирать конфиденциальные данные пользователя или выполнять другие вредоносные операции. В случае срабатывания правила необходимо запросить информацию у ответственного за учетную запись о причинах активности. Если подтверждения легитимности не последовало, рекомендуется временно заблокировать учетную запись, ограничить доступ к узлу, с которого произошли подозрительные действия, и инициировать внутреннее расследование.

RV-D-871

Запуск процесса с помощью ld.so

Запуск процесса с помощью ld.so — это метод, который может быть использован для обхода стандартных механизмов загрузки программ и выполнения произвольного кода. Например, атакующие могут использовать подмену переменных окружения или указание нестандартных библиотек, чтобы внедрить вредоносный код или изменить поведение приложения. При срабатывании данного правила рекомендуется немедленно проанализировать процесс, вызвавший выполнение команды, проверить системные журналы и выявить возможные векторы атаки. Если обнаружены признаки компрометации, следует изолировать затронутую систему, связаться с ответственным лицом и инициировать процесс расследования.

RV-D-872

Изменение бинарных файлов Linux

Изменение бинарных файлов — это процесс, который может быть использован для компрометации системы или выполнения несанкционированных действий. Атакующие могут модифицировать или заменять исполняемые файлы, чтобы внедрить вредоносный код, получить несанкционированный доступ или скрыть свою активность. При срабатывании данного правила рекомендуется немедленно проверить учетную запись и действия пользователя, запустившего команду. При подтверждении нелегитимной активности требуется заблокировать УЗ инициатора и провести расследование на предмет возможной компрометации системы.

RV-D-873

Изменение системных библиотек Linux

Изменение системных библиотек Linux — это процесс, который может быть использован для компрометации системы или выполнения несанкционированных действий. Атакующие могут заменить или модифицировать системные библиотеки, чтобы внедрить вредоносный код или скрыть свою активность. Например, в CVE-2024-3094 атакующие получали бэкдор в SSH благодаря изменению библиотеки liblzma. При срабатывании данного правила рекомендуется немедленно проверить учетную запись и действия пользователя, запустившего команду. При подтверждении нелегитимной активности требуется заблокировать УЗ инициатора и провести расследование на предмет возможной компрометации системы.

RV-D-874

Модификация файлов MOTD в Linux

В операционных системах Linux файл MOTD (Message of the Day) отображает сообщение, которое пользователи видят при входе в систему через консоль или по SSH. Файл находится в директории /etc/update-motd.d/ и может содержать важную информацию для пользователей. Атакующие могут использовать модификацию файлов MOTD для внедрения вредоносного кода или скриптов, которые будут выполняться при входе пользователя в систему. Эта техника позволяет атакующему закрепиться в системе и потенциально повысить свои привилегии. При обнаружении такого события рекомендуется проверить внесенные изменения и удостовериться в легитимности действий пользователя, инициировавшего изменения. При наличии признаков злоупотребления требуется ограничить доступ пользователя, проанализировать журналы и инициировать расследование на предмет возможной компрометации системы, удалить добавленные или измененные файлы.

RV-D-875

Поиск данных в сетевых папках Linux

Атакующие после компрометации системы могут использовать сетевые ресурсы, чтобы обнаружить интересующие их файлы. Они ищут определенные типы файлов, такие как документы, электронные таблицы, технические спецификации, базы данных или архивы, которые могут содержать пароли, личные данные клиентов, финансовую информацию и другие ценные сведения. При срабатывании данного правила корреляции необходимо просмотреть время срабатывания, пользователя и критичность сетевого диска. При аномальной активности или нетипичном имени файлов рекомендуется запросить у инициатора подтверждение легитимности его действий. Если действия не подтверждаются, следует заблокировать учетную запись пользователя, сбросить активные сессии нарушителя и провести расследование на возможность компрометации других хостов в сети, по возможности проверить содержимое файлов.

RV-D-876

Использование утилит для создания снимков экрана Linux

Атакующие могут использовать различные утилиты для создания снимков экрана в Linux. Снимки экрана могут содержать конфиденциальные документы, данные аутентификации, информацию для проведения платежных операций и иную конфиденциальную информацию. Информация со снимков может помочь атакующему сформировать вектор для дальнейшего распространения. При срабатывании правила корреляции требуется изучить активность учетной записи. В случае выявления признаков компрометации необходимо произвести ее блокировку и изоляцию хоста.

RV-D-877

Туннелирование с использованием ngrok в Linux

Утилита ngrok позволяет организовать подключение к удаленному хосту из сети Интернет без статического белого IP-адреса, что активно используется атакующими для создания каналов утечки данных, получения доступа к внутренним сервисам (RDP, SSH) для атаки извне, а также организации каналов командования и управления (C2). Правило детектирует параметры, с которыми создается процесс ngrok, события создания и изменения файла конфигурации. При обнаружении активности рекомендуется определить легитимность использования инструмента. Если легитимность подтвердить не удалось, необходимо изолировать хост и заблокировать учетную запись, от имени которой выявлена активность.

RV-D-879

Удаление файлов логирования в Linux

После выполнения ряда действий в системе атакующие могут попытаться удалить следы своего присутствия. Одним из наиболее распространенных методов является удаление файлов логирования. Данное правило отслеживает попытки удаления файлов, содержащих важную информацию о действиях атакующего, что помогает обнаружить попытки сокрытия следов. При попытке удаления лог-файлов необходимо оперативно провести анализ журналов событий для выявления действий атакующего. Важно попытаться восстановить удаленные файлы с помощью резервных копий или инструментов восстановления, усилить защиту логирования, используя неизменяемые журналы или специализированные решения. В случае инцидента необходимо заблокировать учетную запись, от имени которой производились действия, провести расследование для определения масштаба ущерба и установления дальнейших шагов по устранению последствий.

RV-D-880

Загрузка подозрительного ebpf модуля

Правило обнаруживает использование системного вызова bpf. Данный вызов может использоваться атакующими для внедрения вредоносных ebpf модулей, что приведет к закреплению в системе. Модуль ebpf сложно обнаружить, так как он работает непосредственно в самом ядре. Такие модули могут использоваться не только для закрепления, но и для обхода средств защиты (скрытие процессов, сетевых подключений, перехват системных вызовов). При обнаружении активности рекомендуется определить легитимность действий. Если легитимность подтвердить не удалось, необходимо изолировать хост и заблокировать учетную запись, от имени которой выявлена активность.

RV-D-881

Изменение критичных файлов конфигурации интерактивной оболочки

Изменение параметров ведения журнала и очистка истории команд в Linux могут быть использованы атакующими для сокрытия своей деятельности и затруднения обнаружения. Атакующий может изменить настройки оболочки или переменные окружения, связанные с ведением истории команд, чтобы предотвратить запись своих дальнейших действий. Это позволяет скрыть выполненные команды и затруднить расследование инцидентов безопасности. При обнаружении изменения параметров журнала и очистки истории команд Linux на хосте необходимо заблокировать учетную запись, от имени которой произошел инцидент, закрыть ее активные сессии в корпоративной сети, по возможности изолировать пораженный хост и восстановить первичные настройки логирования команд.

RV-D-882

Изменение конфигурационных файлов служб журналирования

Конфигурационные файлы служб журналирования содержат настройки, которые определяют, как собираются и обрабатываются журналы событий. Несанкционированное изменение этих файлов может привести к тому, что критическая информация о событиях системы не будет правильно собрана или отправлена для анализа, что, в свою очередь, может скрыть следы злонамеренных действий. При срабатывании данного правила необходимо провести проверку легитимности действий, запросив подтверждение от пользователя, от имени которого произошло событие. Если активность не санкционирована, необходимо заблокировать учетную запись и закрыть все текущие сессии с ней, а также восстановить конфигурационные файлы из резервной копии.

RV-D-883

Компиляции исходного кода на Linux

Атакующие могут использовать доставку вредоносных файлов в виде исходного кода для обхода защитных механизмов, предназначенных для блокировки исполняемых файлов. Такие файлы требуют компиляции перед запуском, что обычно выполняется с помощью утилит gcc, g++, cargo, rustc, go. Данное правило позволяет выявлять подозрительные случаи компиляции исходного кода на целевой системе, которые могут свидетельствовать о попытках обхода защитных мер. При срабатывании правила рекомендуется проанализировать контекст выполнения команды, связаться с пользователем, инициировавшим активность, чтобы уточнить легитимность действий и назначение скомпилированного файла.

RV-D-884

Копирование стандартных исполняемых файлов

Данное правило отслеживает открытие бинарных файлов для чтения. Данные файлы являются стандартными утилитами в системах семейства Unix. Атакующий может копировать эти файлы в файлы с другой директорией и именем для избегания обнаружения. При срабатывании правила рекомендуется проанализировать контекст выполнения команды, связаться с пользователем, инициировавшим активность, чтобы уточнить легитимность действий и причины копирования утилит.

RV-D-886

Отключение мандатного контроля целостности

Данное правило направлено на детектирование подозрительных действий, связанных с отключением Механизмов Контроля Целостности (МКЦ) в Astra Linux. Отключение происходит за счет изменения файла fs-ilev.conf или через GUI и CLI. Данная активность является аномальной для стандартных административных задач и может указывать на попытку атакующего отключить защитные механизмы системы или скрыть следы своей активности. Обнаружение основывается на событиях изменения содержимого файла или выполнения команды. Несанкционированное изменение конфигурации МКЦ может привести к нарушению целостности системы, открывая возможности для дальнейших атак и компрометации критически важных данных. В случае срабатывания правила необходимо запросить информацию о причинах активности у ответственного за узел. Если подтверждения легитимности не последовало, рекомендуется ограничить доступ к узлу, с которого произошли подозрительные действия, и инициировать внутреннее расследование.

RV-D-890

Создание пользователя или группы

Правило выявляет создание новой локальной учетной записи или группы на хосте. Такие действия могут выполняться как легитимными администраторами, так и атакующими для закрепления в системе. Создание учетных записей или групп может быть использовано атакующими для получения долгосрочного доступа, обхода механизмов аутентификации или эскалации привилегий. Правило анализирует события из auth.log и auditd, отслеживая операции ADD_USER и ADD_GROUP.

RV-D-892

Модификация правил udev

udev - это утилита в системах Linux, предназначенная для управления устройствами ввода/вывода и их событиями. Управление происходит путем создания правил в директориях /etc/udev/rules.d/ и /usr/lib/udev/rules.d/. Атакующие могут использовать эти правила для запуска процессов или выполнения определенных файлов. Поэтому необходимо отслеживать создание/изменение правил в данных директориях.

RV-D-893

Закрепление в системе с использованием записей автозагрузки XDG

Атакующие могут добавлять или изменять XDG Autostart Entries (записи автозагрузки XDG) для выполнения вредоносных программ или команд при входе пользователя в систему. XDG Autostart Entries используют файлы .desktop для настройки окружающей среды пользователя и определяют, какие приложения должны запускаться при входе пользователя. Правило детектирует создание и изменение файлов в директориях, где по умолчанию содержатся записи автозагрузки.

RV-D-894

Подозрительное изменение директории /etc

Правило обнаруживает изменения файлов в каталоге /etc на узле Linux, в котором хранится множество конфигураций системы. Атакующий, попав на хост, может попытаться изменить данные файлы конфигурации для атаки с помощью утилит для редактирования файлов.

RV-D-896

Размещение архивов в сетевой папке Linux

Атакующие могут размещать данные, собранные из нескольких систем, в централизованном месте или каталоге на одной системе перед эксфильтрацией. Данные могут храниться в отдельных файлах или объединяться в один файл с помощью таких методов, как архивирование собранных данных. При срабатывании данного правила корреляции необходимо просмотреть время срабатывания, пользователя и критичность сетевого диска. При аномальной активности или подозрительном имени архива и его расположения рекомендуется запросить у инициатора подтверждение легитимности его действий. Если действия не подтверждаются, следует заблокировать учетную запись пользователя, сбросить активные сессии нарушителя и провести расследование на возможность компрометации других хостов в сети, по возможности проверить содержимое архива в изолированной среде.

RV-D-901

Остановка критичных сервисов в Linux

Данное правило направлено на мониторинг и предотвращение атак, направленных на остановку системных сервисов, что может нарушить работоспособность системы или привести к утрате данных. Атакующие могут остановить критически важные сервисы в системе. Также остановка сервиса может затормозить расследование инцидента. Правило детектирует системный вызов "SERVICE_STOP" для важных сервисов в системе. При срабатывании правила следует уточнить легитимность действий пользователя, который выполнил остановку, или определить причину остановки сервиса. Если легитимность не подтверждена, следует начать расследование и по возможности изолировать хост.

RV-D-902

Уничтожение информации на диске в Linux

Атакующие могут использовать методы удаления или порчи данных, чтобы нанести существенный ущерб компании. Это правило направлено на детектирование активности, которая приводит к безвозвратному удалению или искажению данных, делающему их восстановление невозможным. Рассмотрены стандартные инструменты Linux, которые могут быть использованы для подобных действий. В рамках реагирования на инцидент необходимо связаться с ответственным за узел или учетную запись и выяснить причину активности. При отсутствии подтверждения легитимности действий следует временно изолировать узел, отключить учетную запись и инициировать процесс расследования.

RV-D-906

Создание туннелей и перенаправление трафика

Правило отслеживает команды и процессы, которые могут использоваться для создания сетевых туннелей или перенаправления трафика. Атакующие часто применяют утилиты, такие как ssh, iptables, nc (netcat), redir, rinetd и sodevice_event_category, для обхода сетевых ограничений и скрытого взаимодействия с удаленными системами.

RV-D-907

Разведка под сервисным пользователем

Обнаружение использования утилит для разведки на узле Linux от имени сервисной учетной записи. Атакующий, попав на хост под сервисной УЗ, может попытаться получить дополнительные данные о хосте и окружении для дальнейшей атаки.

RV-D-908

Загрузка файла сервисной учетной записью

Обнаружение использования утилит для загрузки файлов на узле Linux от сервисной учетной записи. Атакующий, попав на хост под сервисной учетной записью, может попытаться загрузить дополнительные файлы для атаки.

RV-D-909

Загрузка файла с помощью утилит GTFOBins

Обнаружение использования утилит GTFOBins для загрузки файлов на узле Linux. GTFOBins - список бинарных файлов Unix, которые могут быть использованы для обхода локальных ограничений безопасности. Атакующий, попав на хост, может попытаться загрузить дополнительные файлы для развития атаки.

RV-D-914

Доступ к критичным файлам SSSD

System Security Services Daemon (SSSD) – это пакет приложений для управления аутентификацией и авторизацией в операционных системах на базе Linux. SSSD является альтернативой Samba и позволяет подключить Linux-машину к уже имеющемуся домену Active Directory или FreeIPA. Поскольку служба SSSD отвечает за аутентификацию, файлы SSSD содержат критичные данные, к которым может быть получен доступ. Файлы SSSD могут хранить информацию о хэшах паролей пользователей. Атакующий может использовать его для подбора пароля учетных записей с помощью хэша.

RV-D-915

Подбор пароля пользователя Linux

Правило детектирует перебор паролей для одного пользователя. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора. При срабатывании правила рекомендуется выяснить необходимую информацию у владельца учетной записи.

RV-D-916

Успешный подбор пароля пользователя Linux

Правило детектирует перебор паролей для одного пользователя с последующим успешным входом. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора.

RV-D-919

Изменение конфигурационных файлов службы firewalld

Изменение конфигурационных файлов брандмауэра может позволить атакующим получить доступ к системе через открытые порты, что может привести к компрометации данных или установке вредоносного ПО. При срабатывании данного правила необходимо связаться с владельцем учетной записи, от имени которой произошло событие, для уточнения легитимности действий. Если действия не подтверждены владельцем, необходимо заблокировать скомпрометированную учетную запись и восстановить работу firewalld.

RV-D-920

Отключение или изменение службы SELinux

SELinux (Security-Enhanced Linux) — это механизм мандатного контроля доступа в операционных системах Linux, обеспечивающий дополнительный уровень безопасности посредством принудительного применения политик доступа. Правило детектирует попытки отключения или изменения режима работы SELinux, что может свидетельствовать о попытках атакующего обойти защитные механизмы системы. При срабатывании данного правила рекомендуется немедленно проверить учетную запись и действия пользователя, инициировавшего изменение. При подтверждении нелегитимной активности - восстановить исходные настройки SELinux и провести расследование на предмет возможной компрометации системы.

RV-D-921

Изменение привилегий файлов Linux

Правило обнаруживает использование системных вызовов chmod/chown. В Linux DAC (Discretionary access control) является основным средством контроля доступа к файлам. У каждого файла имеются владелец и права, которые задают действия, которые может выполнять владелец. Данный вызов может использоваться атакующими для изменения прав на файл или директорию, что может приводить к обходу защиты или закреплению в системе. В случае срабатывания данного правила необходимо связаться с владельцем учетной записи, от имени которой произошло событие, чтобы уточнить легитимность действий. Если владелец не подтверждает легитимность, нужно заблокировать учетную запись, разорвать все активные сессии и провести расследование с целью выявления возможной компрометации других хостов в сети.

RV-D-922

Изменение настроек для скрытия пользователей

Данное правило отслеживает выполнение команд, которые используются для изменения настроек, направленных на сокрытие учетных записей пользователей в системе Linux. Такие действия могут быть частью процесса подготовки скрытых учетных записей для последующего использования атакующими. Например, команды gsettings и crudini могут быть использованы для изменения видимости пользователей на экране входа или в системных службах. При обнаружении подобных команд рекомендуется немедленно проверить контекст выполнения, учетную запись инициатора, а также состояние системы на предмет компрометации.

RV-D-923

Создание/изменение скрытых файлов Linux

Скрытые файлы в Linux обозначаются с помощью точки (.) в начале названия файла. Атакующие могут использовать данные файлы для сокрытия вредоносных файлов. Часто такие файлы создаются в доступных для непривилегированного пользователя директориях: /tmp, /var/tmp, /dev/shm, /home. В случае срабатывания правила и подтверждения нелегитимной активности необходимо незамедлительно изолировать хост и отключить скомпрометированную учетную запись. Далее проверить возможные пути распространения атаки и осуществить поиск изначальной причины компрометации узла/учетной записи.

RV-D-924

Создание/изменение скрытых shared object файлов

Правило обнаруживает создание/изменение shared object скрытых файлов в определенных директориях. Названия скрытых файлов начинаются с символа .. Файлы с расширением .so содержат динамически загружаемую разделяемую библиотеку. Атакующие используют комбинацию скрытых файлов (для маскировки) и формата .so (для выполнения кода) для внедрения в системные процессы. Это позволяет им оставаться в системе после перезагрузки, повышать привилегии и скрывать свое присутствие. Данная техника также используется различным вредоносным ПО, включая руткиты и майнеры. В случае возникновения инцидента требуется опросить ответственного за учетную запись инициатора активности. Если легитимность подтвердить не удалось, удалить добавленный/измененный скрытый shared object файл и заблокировать УЗ инициатора на время выяснения обстоятельств инцидента ИБ.

RV-D-925

Загрузка кода в процесс Linux

Правило обнаруживает использование системного вызова memfd_create в отношении популярных у атакующих процессов. Данный вызов может использоваться атакующими для внедрения вредоносного кода в память процесса, что позволяет обходить применяемые средства защиты и обеспечивает закрепление в системе. При срабатывании правила необходимо проанализировать процесс, инициировавший вызов, включая его аргументы и окружение, проверить целостность связанных исполняемых файлов, а также исследовать поведение целевого процесса на предмет аномалий. В случае подтверждения компрометации рекомендуется изолировать скомпрометированный хост до завершения мероприятий по реагированию.

RV-D-926

Изменение корневых сертификатов Linux

Корневые сертификаты (root certificates) являются основой инфраструктуры публичных ключей (PKI) и используются для обеспечения безопасности и доверия. Атакующие могут установить корневой сертификат на скомпрометированной системе, чтобы избежать предупреждений при подключении к контролируемым ими веб-серверам. При обнаружении подобных команд рекомендуется немедленно проверить контекст выполнения, учетную запись инициатора, а также состояние системы на предмет компрометации.

RV-D-927

Обнаружение стеганографии в Linux

Данное правило предназначено для обнаружения запуска утилит steghide, stegpy и stegolsb, которые могут использоваться для сокрытия или извлечения скриптов bash в изображениях или аудиофайлах. Такие методы позволяют атакующим скрывать вредоносный код, значительно усложняя его выявление стандартными средствами мониторинга. При срабатывании правила рекомендуется уточнить легитимность действий у пользователя, инициировавшего изменения, а также проверить ключи, с которыми были запущены утилиты, чтобы понять характер и цель их использования.

RV-D-928

Изменение tmp файлов логирования Linux

Правило обнаруживает потенциально вредоносную активность, связанную с модификацией временных лог-файлов в директориях /tmp. Атакующий может изменять или очищать временные логи, чтобы удалить записи о выполненных им командах, попытках доступа или других следах своей деятельности.

RV-D-929

Чтение файлов с историей команд

В Unix-системах команды, введенные пользователем в командной оболочке (shell), обычно сохраняются в специальных файлах истории. Атакующий может получить доступ к этим файлам и извлечь из них информацию о действиях пользователей, которая может содержать сведения об используемых учетных записях и другую конфиденциальную информацию.

RV-D-930

Чтение файлов с пользовательскими учетными данными

Правило обнаруживает попытки прочитать файлы с данными учетных записей пользователей, а также использование инструментов, позволяющих осуществлять дамп учетных данных из этих файлов, например, утилиты hashdump.

RV-D-931

Подбор пароля на хосте Linux

Правило детектирует перебор пароля для разных пользователей на одном хосте. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора.

RV-D-932

Успешный подбор пароля на хосте Linux

Правило детектирует перебор учетных записей на одном хосте с последующим успешным входом. Для получения доступа к учетной записи или хосту атакующий может попробовать подобрать пароль с помощью перебора.

RV-D-944

Изменение задач cron

Cron – это планировщик задач Linux, который позволяет автоматизированно выполнять запланированные задачи на устройстве по заранее заданному триггеру. Атакующий может создать задачу или модифицировать существующую так, чтобы выполнялся его вредоносный код, таким образом происходит закрепление в системе. Данная техника привлекает атакующих тем, что запланированные задачи являются легитимными, что позволяет замаскировать вредоносные действия, а сам функционал планировщика задач не будет отключен администраторами, так как на нем строится работа системы. Правило детектирует изменения в диспетчере запланированных задач cron.

RV-D-945

Изменение критичных файлов Linux

В Linux все конфигурации и настройки представлены файлами. Атакующий может изменять файлы различных конфигураций для закрепления, сокрытия своих действий, повышения привилегий. Так, например, изменение конфигурации сервисов атакующим может привести к выполнению вредоносного кода. Изменение файлов конфигурации auditd может привести к отключению подсистемы мониторинга событий, таким образом действия атакующего будут не обнаружены. Изменение ssh config может привести к закреплению в системе. Изменение библиотеки ld_preload может привести к сокрытию или закреплению атакующего путем скрытого выполнения вредоносного кода. Изменение файлов загрузки также приводит к закреплению через внедрение кода при загрузке системы. Изменение файлов конфигурации модулей может позволить атакующему внедрить свой модуль в ядро. Изменение сетевых файлов может позволить распространиться по сети или наоборот отключить хост от мониторинга. В файле конфигурации сервиса BIND настраиваются зоны DNS, которые определяют, как разрешать имена в сети. Это предоставляет атакующим возможность манипулировать настройками DNS-сервера для подмены DNS-записей. Также через конфигурационный файл можно отключать DNSSEC или изменять настройки ACL. Правило обнаруживает любые изменения в критичных файлах конфигурации, упомянутых выше.

RV-D-946

Кратковременное существование учетной записи

Данное правило выявляет случаи создания и последующего удаления учетной записи или группы в короткий промежуток времени. Такой сценарий может указывать на попытки атакующего скрыть следы своей активности. Правило анализирует события ADD_USER, DEL_USER, ADD_GROUP и DEL_GROUP из auth.log и auditd, сопоставляя создание и удаление одного и того же объекта в течение 120 секунд. Легитимные срабатывания могут быть связаны с административными ошибками или тестированием.

RV-D-947

Изменение настроек пользователя

Правило обнаруживает изменения настроек пользователя, включая изменения профилей и привилегий. Обычно данные изменения доступны только привилегированному пользователю и используются атакующим для закрепления в системе. Однако при некорректной настройке доступов они могут использоваться и для повышения привилегий. Атакующий может как вносить изменения в файлы вручную, так и воспользоваться специальными утилитами, такими как usermod или groupmod.

RV-D-967

Изменение файлов в домашнем каталоге другим пользователем

Правило обнаруживает изменения файлов в домашнем каталоге другим пользователем на узле Linux. Атакующий, попав на хост, может попытаться изменить файлы в директории другого пользователя для закрепления под данным пользователем или получения контроля над его данными. В случае обнаружения активности требуется уточнить причины выполненных действий у владельца учетной записи или ответственного за хост. В случае подтверждения нелегитимной активности рекомендуется изолировать хост, заблокировать пользователя, проверить, откуда было произведено подключение, убедиться, что не были скомпрометированы другие узлы и пользователи. После этого необходимо сбросить пароли учетных записей, обновить сертификаты, провести внутреннее расследование с целью установления возможных методов закрепления в системе и причин возникновения инцидента.

RV-D-970

Закрепление при помощи утилиты Trap

Атакующие могут использовать обработчик ошибок Trap для закрепления в системе. Обработчик Trap может обрабатывать сигналы, например SIGINT (прерывание, вызванное нажатием CTRL+C). При помещении полезной нагрузки в сигнал и нажатии CTRL+C вместо завершения программы сигнал SIGINT активируется и выполнит полезную нагрузку. Правило нацелено на мониторинг размещения полезной нагрузки в Trap при помощи событий process-creation. При срабатывании правила рекомендуется проверить команду, добавленную в обработчик сигнала, и установить источник выполнения. Если команда выглядит подозрительно, следует проанализировать активность пользователя и рассмотреть возможность изоляции узла для дальнейшего расследования.

RV-D-973

Добавление/удаление модулей ядра Linux

Модули ядра – это фрагменты кода, которые могут быть загружены и выгружены в ядро по требованию. Они расширяют функциональность ядра без необходимости перезагрузки системы. Атакующий может пытаться внедрить свой модуль для закрепления в системе или удалить уже существующие для обхода защиты. Правило обнаруживает добавление или удаление модулей ядра Linux с помощью соответствующих системных вызовов.

RV-D-974

Чтение файлов с закрытыми ключами SSH

В Unix-системах закрытые ключи представляют собой конфиденциальные криптографические данные, обычно используемые для аутентификации пользователя в системах, где реализован протокол SSH (Secure Shell). Закрытый ключ и соответствующий ему открытый ключ являются частью пары ключей. Закрытый ключ должен храниться в тайне и защищаться от несанкционированного доступа, в то время как открытый ключ может быть свободно распространяем. Если атакующий получит доступ к закрытому ключу пользователя, он сможет аутентифицироваться на всех серверах, где этот ключ является доверенным. Это может привести к полной компрометации учетной записи и системных ресурсов.

RV-D-975

Чтение памяти процессов на Linux

Данное правило обнаруживает попытки прочитать файлы /proc/[pid]/maps и /proc/[pid]/mem. Файл /proc/[pid]/maps содержит информацию о карте памяти процесса: какие области памяти и с какими правами доступа он использует. Файл /proc/[pid]/mem позволяет читать и изменять содержимое памяти процесса. Чтение или изменение этих файлов является признаком попытки получить доступ к памяти другого процесса. Такая активность часто используется вредоносными программами или инструментами для кражи паролей, например MimiPenguin, а также для внедрения кода в процессы через файловую систему /proc.

RV-D-978

Создание/изменение правила nf_tables

nf_tables - это подсистема ядра Linux, обеспечивающая фильтрацию и классификацию сетевых пакетов/дейтаграмм/фреймов. Из-за архитектурных особенностей выполнения данного модуля в последнее время обнаруживается множество уязвимостей с использованием nftables, например, CVE-2023-4015, CVE-2023-35001, CVE-2024-1086 и другие. Для взаимодействия с данным модулем в Linux существует специальный тип сокета - NETLINK_NETFILTER, вызов которого и отслеживается в данном правиле.

RV-D-979

Внедрение процесса в другой через ptrace

Внедрение системных вызовов ptrace - это метод выполнения произвольного кода в адресном пространстве отдельного активного процесса. Атакующие могут внедрять вредоносный код в процессы с помощью системных вызовов ptrace, чтобы обойти защиту на основе процессов, получить доступ к конфиденциальным данным, таким как пароли ssh, а также повысить привилегии, например, DirtyCow. По умолчанию в системах Linux вызов ptrace не используется программами в фоновом режиме, однако может использоваться сторонним ПО.

RV-D-1010

Использование средств туннелирования трафика Linux

Средства туннелирования трафика, такие как ngrok, rsockstun, localtonet и другие, активно используются атакующими для организации обратных туннелей и проксирования трафика, позволяя обходить сетевые ограничения и устанавливать устойчивую связь с инфраструктурой управления (C2). Данное правило отслеживает запуск утилит с параметрами, характерными для организации обратных туннелей (revsocks, rsockstun, chisel).

RV-D-1015

Использование хакерской утилиты в Linux

Правило обнаруживает запуск утилит, идентифицируемых по имени целевого процесса, которые могут применяться для проведения атак.

RV-D-1099

Reverse shell через Bash-сценарий

Reverse shell (Обратное подключение) — метод, используемый атакующими для получения контроля над системой через установленное сетевое соединение с хоста жертвы на хост атакующего. Правило отслеживает создание сетевого соединения командной оболочкой Bash.

RV-D-1100

Создан Reverse shell сторонней утилитой в Linux

Reverse shell (Обратное подключение) — метод, используемый атакующими для получения контроля над системой через установленное сетевое соединение с хоста жертвы на хост атакующего. Правило детектирует сетевые соединения и последующий запуск командной оболочки.

RV-D-1101

Создание подозрительного Named Pipe с помощью mkfifo

Обнаруживает создание нового именованного pipe с помощью утилиты mkfifo в потенциально подозрительной директории.

RV-D-1104

Сетевое обращение от подозрительного скрипта в Linux

Запуск скриптов с расширениями .py, .js, .rb, .php, .sh, .pl, .groovy, .ts, .kts может свидетельствовать о потенциально вредоносной активности. Если такие скрипты устанавливают исходящие сетевые соединения, это может указывать на попытку передачи конфиденциальных данных или получение удаленного доступа к системе.

RV-D-1105

Эксплуатация уязвимости CVE-2023-46944 VSCode на Linux

Правило срабатывает при открытии Git-репозитория в VSCode, как в доверенной, так и в недоверенной среде, где файле .git/config в функции fsmonitor указана вредоносная команда. Данная активность относится к уязвимой версии расширения GitLens до 13.6.0 включительно, ей присвоен номер CVE-2023-46944. Также данная активность может возникнуть при открытии вредоносного Git-репозитория в доверенной среде, но с исправленной версией GitLens или вообще без установленного расширения в версиях редактора выше 1.63.1.

RV-D-1106

Создание интерактивной оболочки через GTFOBins

GTFOBins — это открытый проект, представляющий собой каталог бинарных файлов UNIX/Linux, которые могут быть использованы атакующими для обхода ограничений безопасности в системе. Эти утилиты обычно предустановлены на большинстве Linux-систем и обладают возможностями, которые могут быть использованы для выполнения различных действий.

RV-D-1108

Повышение привилегий до root

Правило обнаруживает смену непривилегированного пользователя на пользователя root, что может свидетельствовать о повышении привилегий. Атакующие зачастую пытаются поднять привилегии до root и дальше работать уже от имени привилегированного аккаунта.

RV-D-1109

Повышение привилегий с помощью GTFOBins

GTFOBins — это открытый проект, представляющий собой каталог бинарных файлов UNIX/Linux, которые могут быть использованы атакующими для обхода ограничений безопасности в системе. Также, в случае неправильных настроек безопасности, с помощью данных утилит можно повысить привилегии в системе, на что и направлено данное правило. Утилиты обычно предустановлены на большинстве Linux-систем и обладают функциональностью, которая может быть использована для выполнения различных действий.

RV-D-1110

Использование утилиты fusermount

fusermount — это утилита, используемая для монтирования и размонтирования файловых систем, работающих через FUSE (Filesystem in Userspace). Утилита fusermount может быть использована для эксплуатации уязвимостей, связанных с файловыми системами, такими как OverlayFS. Уязвимость OverlayFS (CVE-2023-0386) позволяет непривилегированному пользователю создавать исполняемые файлы с SUID-битом и с их помощью получать привилегии root. При срабатывании данного правила рекомендуется немедленно проверить учетную запись и действия пользователя, запустившего команду. При подтверждении нелегитимной активности — заблокировать УЗ инициатора и провести расследование на предмет возможной компрометации системы.

RV-D-1111

Использование утилиты at

Утилита at используется для выполнения задач в определенное время. Атакующие могут использовать ее для выполнения вредоносного кода и закрепления в системе.

RV-D-1112

Изменение timers на хосте Linux

Timers в Linux — это механизм, позволяющий выполнять определенные действия по расписанию или через заданные интервалы времени. Таймеры используются для выполнения задач, которые должны запускаться в будущем или периодически. Атакующие могут использовать данный функционал для выполнения вредоносного кода и закрепления в системе.

RV-D-1114

Модификация разрешений системных файлов в Linux

Изменение прав доступа к файлам может свидетельствовать о подозрительной активности, связанной с попытками атакующих получить несанкционированный доступ к системным ресурсам. Такие операции могут использоваться для повышения привилегий процесса или обхода механизма контроля доступа, закрепления в системе. Если данная активность инициализируется вне контекста обычных операций системы, это может свидетельствовать о компрометации системы. При обнаружении такого события рекомендуется тщательно проверить источники и цели изменений, удостовериться в легитимности действий пользователя, инициировавшего изменения. При наличии признаков злоупотребления — ограничить доступ пользователя, проанализировать журналы и провести полное расследование на предмет возможной компрометации системы.

RV-D-1115

Создание файла через Python/Ruby-сценарий

Правило предназначено для обнаружения случаев создания новых файлов при помощи сценариев на Python или Ruby. Эта техника может быть использована атакующими для сохранения полезной нагрузки или выполнения действий в рамках подготовки к атаке. Данное правило нацелено на идентификацию подозрительных операций, связанных с созданием файлов с использованием скриптов.

RV-D-1116

Обнаружена команда Reverse/Bind shell

Правило обнаруживает выполнение команд, создающих Reverse или Bind shell, что может указывать на компрометацию системы. Атакующие могут использовать данный метод для получения контроля над системой через сетевое соединение с хостом атакующего.

RV-D-1122

Вызов команды из модуля PAM

Обнаружение использования команд, выполненных из модуля PAM Linux. Атакующий может внедрить в PAM вредоносный код для получения учетных данных пользователей или закрепления в системе.

RV-D-1132

Дамп памяти утилитой MimiPenguin на Linux

Правило детектирует попытки использования утилиты MimiPenguin для извлечения паролей из памяти процессов. Данное правило позволяет детектировать использование команд для дампа памяти, что является одним из признаков работы утилиты.

RV-D-1137

Построение образа в Linux

Правило обнаруживает команды для создания образа контейнера, используемые, чтобы обойти защиту от получения вредоносных образов из общедоступных реестров.

RV-D-1138

Перехват SSH-сессии

Атакующие могут осуществлять перехват активных SSH-сессий для получения несанкционированного доступа к конфиденциальной информации или продвижения по инфраструктуре. Правило обнаруживает попытки чтения файла /proc/<pid>/environ SSH-процесса, принадлежащего другому пользователю, что позволяет извлечь критичные переменные окружения, включая SSH_AUTH_SOCK. Обладая данными переменными, атакующий может использовать SSH-агент жертвы для аутентификации на удаленных системах без необходимости знания паролей или доступа к файлам ключей, что приводит к эскалации привилегий и неконтролируемому перемещению по сети.

RV-D-1156

Аномальное Bind-монтирование

Bind Mounts (связанные монтирования) – это техника сокрытия артефактов, которая позволяет атакующим скрывать свою активность от системных утилит, создавая ложное представление о выполняющихся процессах. Bind Mounts сопоставляет каталог или файл из одного места файловой системы в другое, аналогично ярлыкам в Windows.