# Обнаружение после проникновения Linux [Логгирование Linux](http://bobrobotirk.ru/books/linux/page/loggirovanie "Логгирование") Пример анализа журнала аудита для выявления нелегитимной активности на различных этапах атаки. **Этап разведки** Разведка включает в себя сканирование портов, сбор информации о системе и сети. Примеры логов auditd, которые могут указывать на разведывательные действия: **Сканирование портов** type=SOCKET msg=audit(1625525281.877:123): saddr=192.168.1.100 saddr=192.168.1.200 sport=12345 daddr=192.168.1.2 dport=22 **Сбор информации о пользователях и группах** type=USER\_AUTH msg=audit(1625525281.877:123): pid=12345 uid=0 auid=1000 ses=2 subj=unconfined\_u:unconfined\_r:unconfined\_t:s0-s0:c0.c1023 msg='op=PAM:authentication acct="root" exe="/usr/sbin/sshd" hostname=192.168.1.2 addr=192.168.1.3 terminal=ssh res=success' Лог показывает успешную аутентификацию пользователя с именем пользователя root. Это может быть индикатором попытки получения привилегированного доступа. type=SYSCALL msg=audit(1625525281.877:123): arch=c000003e syscall=16 success=yes exit=0 a0=7ffdf44d1eab a1=0 a2=1 a3=0 items=2 ppid=29942 pid=29943 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="whoami" exe="/bin/whoami" key="audit-wazuh-r" **Сбор информации о сетевых подключениях** type=SOCKET msg=audit(1625525281.877:123): saddr=192.168.1.100 saddr=192.168.1.200 sport=12345 daddr=192.168.1.2 dport=80 **Сбор информации о файлах и директориях** type=SYSCALL msg=audit(1625525281.877:123): arch=c000003e syscall=2 success=yes exit=0 a0=7ffdf44d1eab a1=0 a2=1 a3=0 items=2 ppid=29942 pid=29943 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="ls" exe="/bin/ls" key="audit-wazuh-r" name="/etc/passwd" Запись указывает на успешное выполнение команды ls, которая пытается получить доступ к файлу /etc/passwd. Это может быть попытка собрать информацию о пользователях и их хэшах паролей. **Поиск SSH ключей** Попытка чтения файла id\_rsa type=SYSCALL msg=audit(1625525281.877:123): arch=c000003e syscall=2 success=yes exit=0 a0=7ffdf44d1eab a1=0 a2=1 a3=0 items=2 ppid=29942 pid=29943 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=2 comm="cat" exe="/bin/cat" key="audit-wazuh-r" name="/home/user/.ssh/id\_rsa" Успешное чтение файла id\_rsa в домашней директории пользователя. Файл id\_rsa обычно содержит закрытый ключ SSH. Попытка чтения файлов с расширением .pub type=SYSCALL msg=audit(1625525281.877:123): arch=c000003e syscall=2 success=yes exit=0 a0=7ffdf44d1eab a1=0 a2=1 a3=0 items=2 ppid=29942 pid=29943 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=2 comm="ls" exe="/bin/ls" key="audit-wazuh-r" name="/home/user/.ssh/id\_rsa.pub" Попытка просмотра файлов с расширением .pub в директории ~/.ssh. Файлы с таким расширением обычно являются публичными ключами SSH. Попытка выполнения команды find для поиска ключей type=EXECVE msg=audit(1625525281.877:123): argc=3 a0="/usr/bin/find" a1="/home/user" a2="-name" a3="\*.pub" Выполнение команды find для поиска файлов с расширением .pub в домашней директории пользователя. Это может быть попытка сканирования домашней директории пользователя на предмет публичных ключей SSH. Попытка получения доступа к каталогу ~/.ssh type=PATH msg=audit(1625525281.877:123): item=0 name="/home/user/.ssh" inode=12345 dev=xx:xx mode=040700 ouid=1000 ogid=1000 rdev=00:00 obj=system\_u:object\_r:user\_home\_t:s0 nametype=PARENT cap\_fp=0000000000000000 cap\_fi=0000000000000000 cap\_fe=0 cap\_fver=0 Запись указывает на попытку доступа к каталогу ~/.ssh в домашней директории пользователя. Каталог ~/.ssh часто содержит файлы ключей SSH. Попытка чтения файлов authorized\_keys type=SYSCALL msg=audit(1625525281.877:123): arch=c000003e syscall=2 success=yes exit=0 a0=7ffdf44d1eab a1=0 a2=1 a3=0 items=2 ppid=29942 pid=29943 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=2 comm="cat" exe="/bin/cat" key="audit-wazuh-r" name="/home/user/.ssh/authorized\_keys" Успешное чтение файла authorized\_keys в домашней директории пользователя. Файл authorized\_keys обычно содержит открытые ключи SSH, которые используются для аутентификации пользователей. **Горизонтальное перемещение** Использование SSH для удаленного доступа type=USER\_LOGIN msg=audit(1625525281.877:123): pid=1234 uid=0 auid=1000 ses=1 subj=system\_u:system\_r:sshd\_t:s0-s0:c0.c1023 msg='op=login acct="root" exe="/usr/sbin/sshd" hostname=192.168.1.100 addr=192.168.1.100 terminal=ssh res=success' В логе показан успешный вход в систему под учетной записью root через SSH с IP-адреса 192.168.1.100. Если злоумышленник удаленно получил доступ к одной системе, он может использовать этот доступ для перемещения на другие системы внутри сети. Использование общего ресурса для передачи файла type=SYSCALL msg=audit(1625525281.877:123): arch=c000003e syscall=42 success=yes exit=0 a0=3 a1=0 a2=7ffe392a6e00 a3=0 items=2 ppid=1 pid=1234 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=12345 comm="cp" exe="/bin/cp" key=(null) name="/tmp/malicious\_payload.exe" В логе зафиксировано копирование файла /tmp/malicious\_payload.exe с одной системы на другую с помощью команды cp. Использование RSH/RCP type=USER\_LOGIN msg=audit(1625525281.877:123): pid=1234 uid=0 auid=1000 ses=1 subj=system\_u:system\_r:rshd\_t:s0-s0:c0.c1023 msg='op=login acct="root" exe="/usr/sbin/rshd" hostname=192.168.1.101 addr=192.168.1.101 terminal=rsh res=success' В логе зафиксирован вход в систему под учетной записью root через удаленную оболочку (RSH) с IP-адреса 192.168.1.101. Удаленные оболочки могут быть использованы злоумышленниками для горизонтального перемещения по сети. Использование протокола SMB для доступа к общему ресурсу type=USER\_LOGIN msg=audit(1625525281.877:123): pid=1234 uid=0 auid=1000 ses=1 subj=system\_u:system\_r:smbd\_t:s0-s0:c0.c1023 msg='op=login acct="root" exe="/usr/sbin/smbd" hostname=192.168.1.102 addr=192.168.1.102 terminal=smb res=success' В этом логе зафиксирован успешный вход в систему под учетной записью root через протокол SMB (Server Message Block) с IP-адреса 192.168.1.102. Злоумышленник может использовать протокол SMB для доступа к общим ресурсам и файлам на других системах в сети. **Инструменты для работы с логами** **ausearch** Ausearch — утилита для анализа журналов системы и аудита безопасности. Позволяет искать и анализировать записи в журналах аудита (auditd) на основе различных критериев, таких как время, пользователь, тип события и по другие атрибутам. Подробная информация [здесь](https://man7.org/linux/man-pages/man8/ausearch.8.html). Рассмотрим пример записи в журнале аудита (`/var/log/audit/audit.log`): ``` ```ini type=USER_AUTH msg=audit(1513159418.705:86): pid=1234 uid=1000 auid=1000 ses=1 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login id=1000 exe="/usr/sbin/sshd" hostname=192.168.1.10 addr=192.168.1.10 terminal=/dev/pts/0 res=success' ``` ``` Это типичная запись в журнале аудита, которая содержит различные поля, такие как тип события (type), сообщение (msg), временная метка (audit), идентификатор процесса (pid), идентификатор пользователя (uid), идентификатор аудитируемого пользователя (auid), идентификатор сеанса (ses), подлежащий контекст (subj), и другие метаданные. Пример использования ausearch для поиска определенной строки в логах: ``` ```nginx ausearch -m USER_AUTH ``` ``` Этот пример ищет все записи в журнале аудита, связанные с аутентификацией пользователя (тип события USER\_AUTH). Если вы хотите искать определенную строку в логах, вы можете использовать ключ `-m` (или `--message`), указав текст строки, которую вы хотите найти. Например: ``` ```nginx ausearch -m "op=login" ``` ``` Это команда найдет все записи в журнале аудита, в которых встречается строка "op=login". Важным ключом ausearch является ключ `-i`, `--interpret`, который позволяет выводить информацию в человекочитаемом виде. Пример записи аудита без использования ключа `--interpret`: ``` ```bash type=SYSCALL msg=audit(1511449251.972:214): arch=c000003e syscall=2 success=yes exit=0 a0=7fffb352bcf0 a1=0 a2=1 a3=7fffb3529b90 items=2 ppid=11611 pid=11612 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=1554 comm="cat" exe="/bin/cat" key=(null) ``` ``` Тот же самый пример, но с использованием ключа `--interpret`: ``` ```bash type=SYSCALL msg=audit(1511449251.972:214): arch=c000003e syscall=open success=yes exit=0 a0=7fffb352bcf0 a1=0 a2=1 a3=7fffb3529b90 items=2 ppid=11611 pid=11612 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=1554 comm="cat" exe="/bin/cat" key=(null) ``` ``` При использовании ключа `--interpret`, числовые значения, такие как syscall=2, были заменены их текстовыми описаниями, в данном случае "syscall=open". **augenrules** augenrules — это утилита, которая используется для обновления файла конфигурации правил аудита. Этот файл определяет правила аудита, которые определяют, какие события должны быть аудиторованы системой аудита Linux. Когда вы создаете или изменяете правила аудита в системе, вы можете использовать augenrules, чтобы применить эти изменения и обновить файл audit.rules, который используется демоном аудита Linux (auditd). Обычно файл audit.rules хранится в `/etc/audit/rules.d/` или `/etc/audit/`, и augenrules помогает управлять этим файлом с учетом ваших настроек. Пример использования augenrules может выглядеть так: ``` ```css augenrules --load ``` ``` Эта команда загрузит правила аудита из всех файлов конфигурации в `/etc/audit/rules.d/` и применит их к текущей конфигурации аудита. Это может быть полезно после внесения изменений в файлы правил, чтобы убедиться, что изменения вступают в силу без перезапуска службы аудита. **Правила Sigma** Sigma — унифицированный формат описания правил детектирования событий на основе данных из логов. Правила хранятся в отдельных YAML-файлах. Sigma позволяет написать правило, используя унифицированный синтаксис, один раз, а затем с помощью специального конвертера получить правило в синтаксисе поддерживаемой SIEM-системы. Также Sigma позволяет создавать запросы, использующие утилиту grep с нужными параметрами, что не требует дополнительных инструментов для парсинга логов. **Синтаксис правил** В каждом правиле есть обязательные и необязательные к заполнению поля, схему правила Sigma можно представить так: ![](https://ucarecdn.com/f23c9c23-ad10-4678-8a82-57817e5f11d5/) Обязательные поля: - title — название правила; - logsource — источник правила; - detection — определяет параметры, по которым будет срабатывать правило. Одни из возможных вариантов: selection, filter, aggregation, timeframe; - condition — условие срабатывания правила. **logsource** определяет, на события из каких источников будет срабатывать правило. Состав logsource: - product: указывает на продукт или технологию, откуда поступают логи. Например, "windows" для логов Windows, "linux" для логов Linux, "aws" для логов Amazon Web Services и т. д. - service: указывает на конкретный сервис или компонент, который генерирует логи внутри продукта. Например, "auditd" для логов аудита в Linux, "sysmon" для логов системы Sysmon в Windows, "apache" для логов веб-сервера Apache и т. д. - category: дополнительное поле, которое может указывать на категорию логов. Например, "authentication" для логов аутентификации, "network" для сетевых логов и т. д. - subcategory: дополнительное поле, которое может указывать на подкатегорию логов. Например, "login" для логов входа в систему, "firewall" для логов брандмауэра и т. д. Например, в logsource можно задать следующие поля: ``` ```yaml logsource:   product: linux   service: auditd ``` ``` ``` ```yaml logsource:   product: aws   service: guardduty ``` ``` **detection** предназначен для определения условий обнаружения событий или действий, на которые будут срабатывать правила. Список полей: 1. Selections: ключевое поле, в котором описываются условия выбора событий для анализа. Это могут быть различные атрибуты событий, такие как тип события, значения полей событий, ключевые слова в тексте логов и т. д. Например, можно указать определенный тип события или значение поля, которое требуется отслеживать. В этом поле можно выделить следующие варианты: - *EventID*: определяет тип события, на которое следует реагировать. Например, в Windows EventID 4625 обозначает неудачную попытку входа в систему. - *ProcessName*: указывает на имя процесса, который сгенерировал событие. Например, "svchost.exe" или "apache2". - *AccountName*: определяет имя учетной записи, с которой связано событие. Это может быть имя пользователя, группы и т. д. - *IPAddress*: определяет IP-адрес, связанный с событием. Это может быть как исходный, так и целевой IP-адрес. - *DestinationPort*: указывает на номер порта, к которому относится событие, например, порт 22 для SSH или порт 80 для HTTP. - *CommandLine*: определяет команду, которая была выполнена в командной строке. Например, в Windows это может быть команда, запущенная с помощью cmd.exe. - *RegistryKey*: указывает на ключ реестра, связанный с событием. Например, "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run". - *ParentProcessName*: Определяет имя родительского процесса, который породил событие. - *BytesTransferred*: указывает на количество переданных байтов в результате события, например, при сетевой активности. - *TargetUserName*: определяет целевое имя пользователя, на которое направлено событие. - и др. 2. Condition: определяет условие, при котором срабатывает правило. Здесь можно задать логическое выражение, которое должно быть выполнено для того, чтобы правило сработало. Это может быть комбинация различных условий, заданных в блоке Selections, с использованием логических операторов (например, AND, OR). - Простое логическое выражение с использованием логических операторов (AND, OR, NOT) для комбинации различных условий: ``` ```java Condition: Selection1 AND (Selection2 OR Selection3) ``` ``` - Условие наличия: можно указать, что событие должно содержать определенный атрибут или значение: ``` ```yaml Condition: ProcessName IS NOT NULL AND EventID = 4625 ``` ``` - Условие отсутствия: можно задать условие, что событие не должно содержать определенный атрибут или значение: ``` ```java Condition: NOT ProcessName = "svchost.exe" ``` ``` - Условие сравнения: можно использовать условия сравнения для сравнения значений атрибутов с определенными значениями: ``` ```makefile Condition: BytesTransferred > 1000000 AND DestinationPort IN [80, 443] ``` ``` - Сложные условия: Можно комбинировать различные типы условий для создания более сложных логических выражений: ``` ```sql Condition: (ProcessName = "cmd.exe" AND CommandLine CONTAINS "net user") OR (EventID = 4625 AND Outcome = FAILURE) ``` ``` Если в поле condition указано true, правило будет срабатывать на любое событие, которое соответствует критериям, указанным в блоке detection. При таком условии правило будет применяться без дополнительных ограничений и будет срабатывать на каждое событие, которое соответствует заданным критериям. Например, если блок detection содержит несколько условий выбора событий, но в поле condition указано true, это означает, что правило будет срабатывать на любое событие, которое удовлетворяет хотя бы одному из условий выбора. В этом примере правило будет срабатывать на любое событие с EventID 4625 или 4634, так как в поле condition указано true, что означает применение правила без дополнительных условий: ``` ```yaml detection:   Selection1:     EventID: 4625   Selection2:     EventID: 4634   Condition: true ``` ``` Дополнительные поля: - False Positives: можно указать предполагаемые ложные срабатывания данного правила. Это позволяет аналитикам и инженерам безопасности учитывать потенциальные ложные срабатывания и проводить дополнительный анализ для их исключения. - Level: указывает на уровень критичности события, при котором правило срабатывает. Обычно используются уровни low (низкий), medium (средний), high (высокий) - Grouping Logic: некоторые правила могут иметь дополнительные поля для определения логики группировки событий. Например, можно указать, что правило должно срабатывать только в случае, если определенное количество событий произошло в определенном временном интервале или если определенные условия были выполнены несколько раз подряд. Примеры блоков detection **Блок Detection для обнаружения подозрительной активности в логах аутентификации** ``` ```yaml detection:   Selection:     EventID: 4625     AccountName: ["Administrator", "root"]     Outcome: FAILURE   Condition: true   FalsePositives:     - Expected administrative login failures during maintenance windows.   Level: medium ``` ``` В этом примере правило будет срабатывать, если произошло событие аутентификации с идентификатором 4625 (попытка входа в систему), имя пользователя равно "Administrator" или "root", и результат попытки входа — FAILURE. Условие Condition: true указывает, что правило будет срабатывать на все события, удовлетворяющие критериям блока Selection. Уровень критичности установлен на средний, и указаны ложные срабатывания. **Блок Detection для обнаружения необычного сетевого трафика** ``` ```yaml detection:   Selection:     EventType: NETWORK     Protocol: TCP     DestinationPort: [22, 3389, 5900]     BytesTransferred: ">1000000"   Condition: true   FalsePositives:     - Expected high-volume traffic during data transfers.   Level: high ``` ``` В этом примере правило будет срабатывать на сетевые события типа NETWORK с использованием протокола TCP и с направленным портом 22, 3389 или 5900, а также с объемом переданных данных более 1 МБ. Условие Condition: true указывает, что правило будет срабатывать на все события, удовлетворяющие критериям блока Selection. Уровень критичности установлен на высокий, и указаны ложные срабатывания. **Блок Detection для обнаружения попыток SQL-инъекций** ``` ```yaml detection:   Selection:     EventType: APPLICATION     ProcessName: ["sqlserver.exe", "mysql.exe", "postgresql.exe"]     CommandLine: "*' OR 1=1 --"   Condition: true   FalsePositives:     - Legitimate use of special characters in database queries.   Level: medium ``` ``` В этом примере правило будет срабатывать на события типа APPLICATION с процессами sqlserver.exe, mysql.exe или postgresql.exe, в которых встречается подозрительная команда "\*' OR 1=1 --" в командной строке. Условие Condition: true указывает, что правило будет срабатывать на все события, удовлетворяющие критериям блока Selection. Уровень критичности установлен на средний, и указаны ложные срабатывания. **Примеры правил** **Множественные неудачные попытки входа** Рассмотрим пример правила для auditd, которое будет срабатывать после 5 неудачных попыток логина под учетной записью "admin" в течение 5 минут: ``` ```yaml title: Detect 5 Failed Login Attempts for "admin" in Linux Auditd description: Detects 5 consecutive failed login attempts for the user "admin" in Linux auditd logs. tags: - linux - auditd - login logsource:     product: linux     service: auditd detection: Selection: EventID: 4625 UserName: admin Outcome: FAILURE Count: 5 Consecutive: true Window: 5m ``` ``` Поле detection - Selection: общий блок, который содержит набор событий; - EventID: идентификатор события, связанный с неудачной попыткой входа (4625); - UserName: имя пользователя, которое мы хотим отследить (admin); - Outcome: результат попытки входа (FAILURE); - Count: количество событий (5 попыток); - Consecutive: указывает, что события должны быть последовательными (true); - Window: временное окно, в пределах которого должны произойти события (5 минут). На что срабатывает правило Пример неудачной попытки входа: ``` ```rust type=USER_AUTH msg=audit(1485911400.972:318): pid=3662 uid=0 auid=1000 ses=1 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="admin" exe="/usr/sbin/sshd" hostname=192.168.1.100 addr=192.168.1.100 terminal=ssh res=failed' ``` ``` Пример успешного входа: ``` ```rust type=USER_AUTH msg=audit(1485911400.972:318): pid=3662 uid=0 auid=1000 ses=1 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="admin" exe="/usr/sbin/sshd" hostname=192.168.1.100 addr=192.168.1.100 terminal=ssh res=success' ``` ``` Для срабатывания правила, нужно обнаружить пять последовательных неудачных попыток входа. ``` ```rust type=USER_AUTH msg=audit(1485911400.972:318): pid=3662 uid=0 auid=1000 ses=1 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="admin" exe="/usr/sbin/sshd" hostname=192.168.1.100 addr=192.168.1.100 terminal=ssh res=failed' type=USER_AUTH msg=audit(1485911401.972:319): pid=3662 uid=0 auid=1000 ses=1 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="admin" exe="/usr/sbin/sshd" hostname=192.168.1.100 addr=192.168.1.100 terminal=ssh res=failed' type=USER_AUTH msg=audit(1485911402.972:320): pid=3662 uid=0 auid=1000 ses=1 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="admin" exe="/usr/sbin/sshd" hostname=192.168.1.100 addr=192.168.1.100 terminal=ssh res=failed' type=USER_AUTH msg=audit(1485911403.972:321): pid=3662 uid=0 auid=1000 ses=1 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="admin" exe="/usr/sbin/sshd" hostname=192.168.1.100 addr=192.168.1.100 terminal=ssh res=failed' type=USER_AUTH msg=audit(1485911404.972:322): pid=3662 uid=0 auid=1000 ses=1 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="admin" exe="/usr/sbin/sshd" hostname=192.168.1.100 addr=192.168.1.100 terminal=ssh res=failed' ``` ``` **Правило, срабатывающее при сборе информации о системе** ``` ```yaml title: System Information Discovery - Auditd id: f34047d9-20d3-4e8b-8672-0a35cc50dc71 status: test description: Detects System Information Discovery commands references:     - https://github.com/redcanaryco/atomic-red-team/blob/f296668303c29d3f4c07e42bdd2b28d8dd6625f9/atomics/T1082/T1082.md author: Pawel Mazur date: 2021/09/03 modified: 2023/03/06 tags:     - attack.discovery     - attack.t1082 logsource:     product: linux     service: auditd detection:     selection_1:         type: PATH         name:             - /etc/lsb-release             - /etc/redhat-release             - /etc/issue     selection_2:         type: EXECVE         a0:             - uname             - uptime             - lsmod             - hostname             - env     selection_3:         type: EXECVE         a0: grep         a1|contains:             - vbox             - vm             - xen             - virtio             - hv     selection_4:         type: EXECVE         a0: kmod         a1: list     condition: 1 of selection_* falsepositives:     - Likely level: low ``` ``` Поле detection Блок detection содержит 4 разных поля selection, каждое из которых определяет разные методы и инструменты, используемые для обнаружения информации о системе: - selection\_1: попытки доступа к файлам с информацией о версии операционной системы, такими как */etc/lsb-release, /etc/redhat-release, /etc/issue*. - selection\_2: команды, запускаемые с помощью execve, которые могут выдавать информацию о системе, такие как `uname`*,* `uptime`*,* `lsmod`*,* `hostname`*,* `env`. - selection\_3: попытки использования команды `grep` с определенными аргументами, которые могут указывать на присутствие виртуальной среды, такие как `vbox`*,* `vm`*,* `xen`*,* `virtio`*,* `hv`. - selection\_4: команда `kmod list`, которая может быть использована для получения списка загруженных модулей ядра. - condition: *1 of selection\_\** указывает, что правило будет срабатывать, если совпадет любое событие из полей selection выше. **На что может сработать это правило** Доступ к файлу с информацией о версии операционной системы: ``` ```bash type=SYSCALL msg=audit(1485911400.972:318): arch=c000003e syscall=2 success=yes exit=3 a0=7fff39e3a410 a1=0 a2=1b6 a3=7fff39e38880 items=2 ppid=3661 pid=3662 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="cat" exe="/bin/cat" key=(null) type=CWD msg=audit(1485911400.972:318):  cwd="/home/user" type=PATH msg=audit(1485911400.972:318): item=0 name="/etc/lsb-release" inode=1577883 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:etc_t:s0 objtype=NORMAL type=PATH msg=audit(1485911400.972:318): item=1 name="/lib/x86_64-linux-gnu/libc.so.6" inode=1577547 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:libc_so_6_t:s0 objtype=NORMAL ``` ``` Запуск команды с информацией о системе: ``` ```ini type=EXECVE msg=audit(1614005988.958:1032): argc=2 a0="uname" a1="-a" type=CWD msg=audit(1614005988.958:1032):  cwd="/home/user" type=PATH msg=audit(1614005988.958:1032): item=0 name="/bin/uname" inode=2036785 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 objtype=NORMAL ``` ``` Использование команды `grep` для поиска информации о виртуальной среде: ``` ```ini type=EXECVE msg=audit(1614005988.958:1032): argc=3 a0="grep" a1="-i" a2="vm" type=CWD msg=audit(1614005988.958:1032):  cwd="/home/user" type=PATH msg=audit(1614005988.958:1032): item=0 name="/bin/grep" inode=2036785 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 objtype=NORMAL ``` ``` Использование команды `kmod list` для получения списка загруженных модулей ядра: ``` ```ini type=EXECVE msg=audit(1614005988.958:1032): argc=2 a0="kmod" a1="list" type=CWD msg=audit(1614005988.958:1032):  cwd="/home/user" type=PATH msg=audit(1614005988.958:1032): item=0 name="/sbin/kmod" inode=2036785 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:sbin_t:s0 objtype=NORMAL ``` ``` Запуск команды, такой как `uptime`, для получения информации о системе:
``` type=EXECVE msg=audit(1614005988.958:1032): argc=1 a0="uptime" type=CWD msg=audit(1614005988.958:1032):  cwd="/home/user" type=PATH msg=audit(1614005988.958:1032): item=0 name="/usr/bin/uptime" inode=2036785 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 objtype=NORMAL ```
**Передача исполняемого .exe файла на общий ресурс** ``` ```yaml title: Detection of Executable File Transfer to File Resource description: Detects the transfer of an executable file to a file resource in Linux auditd logs. tags:   - linux   - auditd   - file_transfer logsource:   product: linux   service: auditd detection:   Selection:     EventID: CWD     objtype: FILE     objname|endswith: ".exe"   Condition: path == "/opt/staff/" ``` ``` Поле detection - Selection: Блок, указывающий на выбор событий для анализа. - EventID: Идентификатор события (*CWD* - изменение текущего рабочего каталога). - objtype: Тип объекта (*FILE*). - objname|endswith: Имя объекта заканчивается на *".exe"* - Condition: Условие, при котором срабатывает правило. В данном случае проверяется, что путь (path) файла - это /opt/staff/ (*path == "/opt/staff/"*) На что может сработать это правило Передача файла с расширением ".exe" в каталог "/opt/staff/" ``` ```ini type=CWD msg=audit(1614005988.958:1032):  cwd="/opt/staff" type=PATH msg=audit(1614005988.958:1032): item=0 name="/opt/staff/file.exe" inode=2036785 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:file_t:s0 objtype=NORMAL ``` ``` Передача нескольких файлов с расширением ".exe" в каталог "/opt/staff/" ``` ```ini type=CWD msg=audit(1614005988.958:1032):  cwd="/opt/staff" type=PATH msg=audit(1614005988.958:1032): item=0 name="/opt/staff/file1.exe" inode=2036785 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:file_t:s0 objtype=NORMAL type=CWD msg=audit(1614005988.958:1032):  cwd="/opt/staff" type=PATH msg=audit(1614005988.958:1032): item=0 name="/opt/staff/file2.exe" inode=2036786 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:file_t:s0 objtype=NORMAL ``` ``` Передача файла с расширением ".exe" в каталог "/opt/staff/", но без события изменения текущего рабочего каталога: ```ini type=PATH msg=audit(1614005988.958:1032): item=0 name="/opt/staff/file.exe" inode=2036785 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:file_t:s0 objtype=NORMAL ```