Отключение или изменение системы аудита Linux - это техника уклонения от защиты, с помощью которой злоумышленники вмешиваются в систему аудита Linux, чтобы избежать обнаружения и скрыть свою вредоносную деятельность. Система аудита Linux - это критически важный компонент безопасности, который регистрирует системные события, включая действия пользователей, модификацию файлов, выполнение процессов и повышение привилегий. Команды безопасности полагаются на журналы аудита для обнаружения аномалий, расследования инцидентов и обеспечения соответствия политикам безопасности. Отключив или изменив правила аудита, атакующие могут стереть следы своего присутствия, что значительно затрудняет криминалистический анализ.
Что такое система аудита Linux?
Система аудита Linux Audit System предназначена для обеспечения комплексной структуры мониторинга и регистрации системных событий в операционных системах Linux. Система создана для удовлетворения растущей потребности в подотчетности и прозрачности вычислительных сред, и она фиксирует подробную запись различных действий и взаимодействий, происходящих в операционной системе.
Система аудита Linux функционирует путем создания подробных журналов системных вызовов, обращений к файлам, создания процессов, сетевой активности и других критических событий. Эти журналы помогают отслеживать действия пользователей, повышение привилегий и потенциальные инциденты безопасности. Тщательно регистрируя эти события, Linux Audit System позволяет системным администраторам и специалистам по безопасности составить хронологическую шкалу действий, облегчая выявление и расследование подозрительных или несанкционированных действий в системе.
Использование злоумышленниками отключения или модификации системы аудита Linux
Система аудита Linux, часто называемая auditd, работает на уровне ядра для сбора и регистрации информации о действиях в операционной системе, имеющих отношение к безопасности. Демон auditd работает в рамках параметров, заданных в конфигурационном файле audit.conf, и записывает события на диск соответствующим образом. Правила формирования журнала можно настроить с помощью утилиты командной строки auditctl или файла /etc/audit/audit.rules, содержащего последовательность команд auditctl, загружаемых при загрузке системы.
Злоумышленники отключают службу системы аудита, чтобы предотвратить регистрацию своих вредоносных действий. Это можно сделать, завершив процессы, связанные с демоном auditd, с помощью инструментов командной строки или задействовав systemctl для остановки службы аудита. Отключение или модификация системы аудита создает вакуум в журнале аудита, позволяя злоумышленникам действовать, не оставляя привычных следов, которые могли бы предупредить администраторов об их присутствии.
При использовании техники отключения или модификации системы аудита Linux злоумышленники часто нацеливаются на файлы конфигурации и правил, управляющих системой аудита Linux. Для этого необходимо отредактировать такие файлы, как /etc/audit/audit.rules или audit.conf, чтобы изменить правила аудита и исключить из журнала определенные действия. Таким образом, злоумышленники могут выборочно отключать регистрацию событий, связанных с их вредоносными действиями, делая систему аудита слепой к их деятельности и снижая риск обнаружения.
В другом случае злоумышленники используют более сложные методы, например, подключаются к библиотечным функциям системы аудита. Таким образом, они могут динамически манипулировать поведением системы аудита, либо полностью отключая функцию протоколирования, либо изменяя правила в реальном времени, чтобы избежать обнаружения. Такой уровень сложности позволяет злоумышленникам приспосабливаться к меняющемуся ландшафту безопасности, затрудняя защитникам прогнозирование и упреждающее противодействие их вредоносным маневрам.
Вредоносная программа SkidMap использует следующие команды для завершения работы демона auditd
| 1 2 3 4 | sed -i 's/RefuseManualStop=yes/RefuseManualStop=no/g' /lib/systemd/system/auditd.service rm -f /usr/sbin/auditd rm -f /sbin/auditd killall -9 auditd |