Tlog

다운로드 7
업데이트 2024. 6. 25.

리눅스 크리덴셜 덤프

tlog 터미널 로그에서 passwd 또는 shadow 파일 조회 명령을 탐지합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: Scribery tlog 레코딩 (scribery-tlog-recording)
  • 대상 수집모델
    • Scribery tlog

쿼리

명령줄에서 아래 명령어 패턴을 탐지합니다.

  • cat /etc/passwd
  • cat /etc/shadow
| eval pattern = groups(cmd_line, "(\\bcat\\s+/etc/passwd\\b)|(\\bcat\\s+/etc/shadow\\b)")
| search isnotnull(pattern)
| eval pattern = trim(strjoin("\n", foreach(if(isnull(_1), "", _1), pattern)))

메시지

  • $hostname에서 $user 계정이 리눅스 크리덴셜 덤프 ($pattern)

출력 필드 순서

  • _log_time, pattern, hostname, user, term_type, cmd_line, output, in_bin, out_bin

위협 분석

  • 공격자는 /etc/passwd 파일과 /etc/shadow 파일 내용을 덤프한 후 별도의 머신에서 암호를 해독합니다. 암호 해독 시 John the Ripper 등의 도구를 사용할 수 있습니다.

오탐 유형

  • 정상적인 /etc/passwd 나 /etc/shadow 파일 조회 시에도 탐지됩니다.
    • /etc/shadow 조회는 일반적이지 않으므로 유의하여 확인해야 합니다.

대응 방안

  • 암호 해독이 되지 않도록 충분히 복잡도가 높은 암호를 설정합니다.
  • 암호만으로 인증이 불가능하도록 2차 인증(MFA; Multi-Factor Authentication)을 수행합니다.

MITRE ATT&CK