Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Unsecured Credentials: Bash History

Other sub-techniques of Unsecured Credentials (7)

ID	Name
.001	Credentials In Files
.002	Credentials in Registry
.003	Bash History
.004	Private Keys
.005	Cloud Instance Metadata API
.006	Group Policy Preferences
.007	Container API

Adversaries may search the bash command history on compromised systems for insecurely stored credentials. Bash keeps track of the commands users type on the command-line with the "history" utility. Once a user logs out, the history is flushed to the user’s .bash_history file. For each user, this file resides at the same location: ~/.bash_history. Typically, this file keeps track of the user’s last 500 commands. Users often type usernames and passwords on the command-line as parameters to programs, which then get saved to this file when they log out. Adversaries can abuse this by looking through the file for potential credentials. (Citation: External to DA, the OS X Way)

ID: T1552.003

Sub-technique of: T1552

Tactic(s): Credential Access

Platforms: Linux, macOS

Permissions Required: User

Data Sources: Command: Command Execution, File: File Access

Version: 1.1

Created: 04 Feb 2020

Last Modified: 08 Mar 2022

Name	Description
Procedure Examples
Kinsing	Kinsing has searched `bash_history` for credentials.(Citation: Aqua Kinsing April 2020)

Mitigation	Description
Mitigations
Bash History Mitigation	There are multiple methods of preventing a user's command history from being flushed to their .bash_history file, including use of the following commands: `set +o history` and `set -o history` to start logging again; `unset HISTFILE` being added to a user's .bash_rc file; and `ln -s /dev/null ~/.bash_history` to write commands to `/dev/null`instead.
Operating System Configuration	Make configuration changes related to the operating system or a common feature of the operating system that result in system hardening against techniques.

Detection

Monitoring when the user's .bash_history is read can help alert to suspicious activity. While users do typically rely on their history of commands, they often access this history through other utilities like "history" instead of commands like cat ~/.bash_history.

References

Связанные риски

Риск	Связи
Раскрытие ключей (паролей) доступа из-за возможности поиска учетных данных в истории Bash в ОС Linux Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя	1
Раскрытие ключей (паролей) доступа из-за возможности поиска учетных данных в истории Bash в ОС macOS Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.