Tlog

다운로드 14
업데이트 2024. 6. 25.

파일 실행 권한 부여

tlog 터미널 로그에서 chmod 명령어로 실행 권한 부여 시 탐지합니다.

개요

  • 중요도: 중
  • 유형: 실시간 탐지
  • 로그 스키마: Scribery tlog 레코딩 (scribery-tlog-recording)
  • 대상 수집모델
    • Scribery tlog

쿼리

명령줄에서 아래 명령어 패턴을 탐지합니다.

  • chmod +x
  • chmod 777
  • chmod -R 755
| eval pattern = groups(cmd_line, "(\\bchmod\\s+\\+x\\b)|(\\bchmod\\s+777\\b)|(\\bchmod\\s+755\\b)|(\\bchmod\\s+-R\\s+755\\b)")
| search isnotnull(pattern)
| eval pattern = trim(strjoin("\n", foreach(if(isnull(_1), "", _1), pattern)))

메시지

  • $hostname에서 $user 계정이 파일 실행 권한 부여 ($pattern)

출력 필드 순서

  • _log_time, pattern, hostname, user, term_type, cmd_line, output, in_bin, out_bin

위협 분석

  • 공격자는 취약점을 이용하여 악성 스크립트를 /tmp 등 임시 디렉터리에 생성하고, 해당 파일에 실행 권한을 부여한 후 실행합니다.

오탐 유형

  • 정상적인 실행 퍼미션 부여 시에도 탐지되므로, 이후에 이어지는 TTP 이벤트를 추적하여 이상 여부를 확인해야 합니다.

대응 방안

  • 의도하지 않은 파일에 실행 권한이 부여되었다면 실행 권한을 제거합니다. 해당 파일이 악성인 경우 파일 유입 경로를 조사하고 재발하지 않도록 대응 조치합니다.

MITRE ATT&CK