시스템 계정 추가
tlog 터미널 로그에서 adduser 또는 useradd 명령어로 계정 추가 시 탐지합니다.
개요
- 중요도: 상
- 유형: 실시간 탐지
- 로그 스키마: Scribery tlog 레코딩 (scribery-tlog-recording)
- 대상 수집모델
- Scribery tlog
쿼리
명령줄에서 sudo 명령어 패턴을 탐지합니다.
| eval pattern = groups(cmd_line, "(\\badduser\\b)|(\\buseradd\\b)")
| search isnotnull(pattern)
| eval pattern = trim(strjoin("\n", foreach(if(isnull(_1), "", _1), pattern)))
메시지
- $hostname에서 $user 계정이 $pattern 명령어 실행
출력 필드 순서
- _log_time, pattern, hostname, user, term_type, cmd_line, output, in_bin, out_bin
위협 분석
- 공격자는 초기 침투에 성공한 이후 지속적으로 해당 시스템에 접속하기 위하여 시스템 계정을 생성합니다.
오탐 유형
- 정상적인 계정 추가 시에도 탐지되므로 해당 계정 추가가 인가된 작업이었는지 확인합니다.
대응 방안
- 의도하지 않은 계정이 추가되었다면 새로 생성된 계정을 삭제합니다. 이어서 어떻게 계정을 추가할 수 있었는지 침입 경로를 조사하여 대응 조치합니다.
MITRE ATT&CK
- 전술
- Persistence
- 기법
- 이름: Create Account: Local Account
- ID: T1136.001
- 참조 URL: https://attack.mitre.org/techniques/T1136/001/