MITRE ATT&CK - Техника История команд bash

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Unsecured Credentials: История команд bash

Other sub-techniques of Unsecured Credentials (7)

ID	Название
.001	Учетные данные в файлах
.002	Учетные данные в реестре
.003	История команд bash
.004	Закрытые ключи
.005	API метаданных облачных экземпляров
.006	Параметры групповой политики
.007	API Контейнер

Adversaries may search the bash command history on compromised systems for insecurely stored credentials. Bash keeps track of the commands users type on the command-line with the "history" utility. Once a user logs out, the history is flushed to the user’s .bash_history file. For each user, this file resides at the same location: ~/.bash_history. Typically, this file keeps track of the user’s last 500 commands. Users often type usernames and passwords on the command-line as parameters to programs, which then get saved to this file when they log out. Adversaries can abuse this by looking through the file for potential credentials. (Citation: External to DA, the OS X Way)

ID: T1552.003

Относится к технике: T1552

Тактика(-и): Credential Access

Платформы: Linux, macOS

Требуемые разрешения: User

Источники данных: Command: Command Execution, File: File Access

Версия: 1.1

Дата создания: 04 Feb 2020

Последнее изменение: 08 Mar 2022

Название	Описание
Примеры процедур
Kinsing	Kinsing has searched `bash_history` for credentials.(Citation: Aqua Kinsing April 2020)

Контрмера	Описание
Контрмеры
Bash History Mitigation	There are multiple methods of preventing a user's command history from being flushed to their .bash_history file, including use of the following commands: `set +o history` and `set -o history` to start logging again; `unset HISTFILE` being added to a user's .bash_rc file; and `ln -s /dev/null ~/.bash_history` to write commands to `/dev/null`instead.
Operating System Configuration	Make configuration changes related to the operating system or a common feature of the operating system that result in system hardening against techniques.

Обнаружение

Monitoring when the user's .bash_history is read can help alert to suspicious activity. While users do typically rely on their history of commands, they often access this history through other utilities like "history" instead of commands like cat ~/.bash_history.

Ссылки

Связанные риски

Риск	Связи
Раскрытие ключей (паролей) доступа из-за возможности поиска учетных данных в истории Bash в ОС Linux Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя	1
Раскрытие ключей (паролей) доступа из-за возможности поиска учетных данных в истории Bash в ОС macOS Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.