Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Impair Defenses: Disable or Modify Linux Audit System

Other sub-techniques of Impair Defenses (11)

ID	Название
.001	Отключение или перенастройка средств защиты
.002	Отключение журналирования событий Windows
.003	Повреждение журнала истории команд
.004	Отключение или перенастройка системного межсетевого экрана
.006	Блокировка сбора признаков активности
.007	Отключение или перенастройка облачного межсетевого экрана
.008	Disable or Modify Cloud Logs
.009	Загрузка в безопасном режиме
.010	Атака через понижение версии
.011	Spoof Security Alerting
.012	Disable or Modify Linux Audit System

Adversaries may disable or modify the Linux audit system to hide malicious activity and avoid detection. Linux admins use the Linux Audit system to track security-relevant information on a system. The Linux Audit system operates at the kernel-level and maintains event logs on application and system activity such as process, network, file, and login events based on pre-configured rules. Often referred to as `auditd`, this is the name of the daemon used to write events to disk and is governed by the parameters set in the `audit.conf` configuration file. Two primary ways to configure the log generation rules are through the command line `auditctl` utility and the file `/etc/audit/audit.rules`, containing a sequence of `auditctl` commands loaded at boot time.(Citation: Red Hat System Auditing)(Citation: IzyKnows auditd threat detection 2022) With root privileges, adversaries may be able to ensure their activity is not logged through disabling the Audit system service, editing the configuration/rule files, or by hooking the Audit system library functions. Using the command line, adversaries can disable the Audit system service through killing processes associated with `auditd` daemon or use `systemctl` to stop the Audit service. Adversaries can also hook Audit system functions to disable logging or modify the rules contained in the `/etc/audit/audit.rules` or `audit.conf` files to ignore malicious activity.(Citation: Trustwave Honeypot SkidMap 2023)(Citation: ESET Ebury Feb 2014)

ID: T1562.012

Относится к технике: T1562

Тактика(-и): Defense Evasion

Платформы: Linux

Источники данных: Command: Command Execution, File: File Deletion, File: File Modification, Process: OS API Execution, Process: Process Modification

Дата создания: 24 May 2023

Последнее изменение: 03 Oct 2023

Название	Описание
Примеры процедур
Ebury	Ebury disables OpenSSH, system (`systemd`), and audit logs (`/sbin/auditd`) when the backdoor is active.(Citation: ESET Ebury May 2024)

Контрмера	Описание
Контрмеры
Audit	Perform audits or scans of systems, permissions, insecure software, insecure configurations, etc. to identify potential weaknesses.
User Account Management	Manage the creation, modification, use, and permissions associated to user accounts.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Impair Defenses: Disable or Modify Linux Audit System

Other sub-techniques of Impair Defenses (11)

Примеры процедур

Контрмеры

Ссылки

Связанные риски

Каталоги