Tlog

구독
다운로드 9
업데이트 2024. 6. 25.

명령어 실행 기록 삭제

tlog 터미널 로그에서 명령어 실행 기록 삭제 명령을 탐지합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: Scribery tlog 레코딩 (scribery-tlog-recording)
  • 대상 수집모델
    • Scribery tlog

쿼리

명령줄에서 아래 명령어 패턴을 탐지합니다.

  • history -c
  • rm ~/.bash_history
  • unset HISTFILE
| eval pattern = groups(cmd_line, "(\\bhistory\\s+-c\\b)|(\\brm\\s+~/\\.bash_history\\b)|(\\bunset\\s+HISTFILE\\b)") 
| search isnotnull(pattern)
| eval pattern = trim(strjoin("\n", foreach(if(isnull(_1), "", _1), pattern)))

메시지

  • $hostname에서 $user 계정이 명령어 실행 기록 삭제 ($pattern)

출력 필드 순서

  • _log_time, pattern, hostname, user, term_type, cmd_line, output, in_bin, out_bin

위협 분석

  • 공격자는 추적을 어렵게 하고 악성 행위의 증거를 인멸하기 위하여 명령어 실행 기록을 삭제합니다.

오탐 유형

  • 일반적인 행위는 아니지만 정상적인 명령어 실행 기록 삭제 시에도 탐지되므로, 전후의 TTP 이벤트를 추적하여 이상 여부를 확인해야 합니다.

대응 방안

  • 터미널 입출력이 이미 중앙집중적으로 수집되고 있으므로, 이 이벤트 자체에 대해서는 대응할 필요는 없습니다.
    • 단, 이 이벤트의 이전에 악성 행위가 발생했다면 침해 조사 및 대응이 필요합니다.

MITRE ATT&CK