파일 실행 권한 부여
tlog 터미널 로그에서 chmod 명령어로 실행 권한 부여 시 탐지합니다.
개요
- 중요도: 중
- 유형: 실시간 탐지
- 로그 스키마: Scribery tlog 레코딩 (scribery-tlog-recording)
- 대상 수집모델
- Scribery tlog
쿼리
명령줄에서 아래 명령어 패턴을 탐지합니다.
- chmod +x
- chmod 777
- chmod -R 755
| eval pattern = groups(cmd_line, "(\\bchmod\\s+\\+x\\b)|(\\bchmod\\s+777\\b)|(\\bchmod\\s+755\\b)|(\\bchmod\\s+-R\\s+755\\b)")
| search isnotnull(pattern)
| eval pattern = trim(strjoin("\n", foreach(if(isnull(_1), "", _1), pattern)))
메시지
- $hostname에서 $user 계정이 파일 실행 권한 부여 ($pattern)
출력 필드 순서
- _log_time, pattern, hostname, user, term_type, cmd_line, output, in_bin, out_bin
위협 분석
- 공격자는 취약점을 이용하여 악성 스크립트를 /tmp 등 임시 디렉터리에 생성하고, 해당 파일에 실행 권한을 부여한 후 실행합니다.
오탐 유형
- 정상적인 실행 퍼미션 부여 시에도 탐지되므로, 이후에 이어지는 TTP 이벤트를 추적하여 이상 여부를 확인해야 합니다.
대응 방안
- 의도하지 않은 파일에 실행 권한이 부여되었다면 실행 권한을 제거합니다. 해당 파일이 악성인 경우 파일 유입 경로를 조사하고 재발하지 않도록 대응 조치합니다.
MITRE ATT&CK
- 전술
- Defense Evasion
- 기법
- 이름: File and Directory Permissions Modification: Linux and Mac File and Directory Permissions Modification
- ID: T1222.002
- 참조 URL: https://attack.mitre.org/techniques/T1222/002/