tlog 터미널 로그에서 passwd 또는 shadow 파일 조회 명령을 탐지합니다.

개요

• 중요도: 상
• 유형: 실시간 탐지
• 로그 스키마: Scribery tlog 레코딩 (scribery-tlog-recording)
• 대상 수집모델
  • Scribery tlog

쿼리

명령줄에서 아래 명령어 패턴을 탐지합니다.

• cat /etc/passwd
• cat /etc/shadow

| eval pattern = groups(cmd_line, "(\\bcat\\s+/etc/passwd\\b)|(\\bcat\\s+/etc/shadow\\b)")
| search isnotnull(pattern)
| eval pattern = trim(strjoin("\n", foreach(if(isnull(_1), "", _1), pattern)))

메시지

• $hostname에서 $user 계정이 리눅스 크리덴셜 덤프 ($pattern)

출력 필드 순서

• _log_time, pattern, hostname, user, term_type, cmd_line, output, in_bin, out_bin

위협 분석

• 공격자는 /etc/passwd 파일과 /etc/shadow 파일 내용을 덤프한 후 별도의 머신에서 암호를 해독합니다. 암호 해독 시 John the Ripper 등의 도구를 사용할 수 있습니다.

오탐 유형

• 정상적인 /etc/passwd 나 /etc/shadow 파일 조회 시에도 탐지됩니다.
  • /etc/shadow 조회는 일반적이지 않으므로 유의하여 확인해야 합니다.

대응 방안

• 암호 해독이 되지 않도록 충분히 복잡도가 높은 암호를 설정합니다.
• 암호만으로 인증이 불가능하도록 2차 인증(MFA; Multi-Factor Authentication)을 수행합니다.

MITRE ATT&CK

• 전술
  • Credential Access
• 기법
  • 이름: OS Credential Dumping: /etc/passwd and /etc/shadow
  • ID: T1003.008
  • 참조 URL: https://attack.mitre.org/techniques/T1003/008/