Tlog

다운로드 14
업데이트 2024. 6. 25.

시스템 계정 추가

tlog 터미널 로그에서 adduser 또는 useradd 명령어로 계정 추가 시 탐지합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: Scribery tlog 레코딩 (scribery-tlog-recording)
  • 대상 수집모델
    • Scribery tlog

쿼리

명령줄에서 sudo 명령어 패턴을 탐지합니다.

| eval pattern = groups(cmd_line, "(\\badduser\\b)|(\\buseradd\\b)")
| search isnotnull(pattern)
| eval pattern = trim(strjoin("\n", foreach(if(isnull(_1), "", _1), pattern)))

메시지

  • $hostname에서 $user 계정이 $pattern 명령어 실행

출력 필드 순서

  • _log_time, pattern, hostname, user, term_type, cmd_line, output, in_bin, out_bin

위협 분석

  • 공격자는 초기 침투에 성공한 이후 지속적으로 해당 시스템에 접속하기 위하여 시스템 계정을 생성합니다.

오탐 유형

  • 정상적인 계정 추가 시에도 탐지되므로 해당 계정 추가가 인가된 작업이었는지 확인합니다.

대응 방안

  • 의도하지 않은 계정이 추가되었다면 새로 생성된 계정을 삭제합니다. 이어서 어떻게 계정을 추가할 수 있었는지 침입 경로를 조사하여 대응 조치합니다.

MITRE ATT&CK