Tlog

다운로드 14
업데이트 2024. 6. 25.

sudo 명령어 실행

tlog 터미널 로그에서 sudo 명령어를 이용한 권한 상승을 탐지합니다.

개요

  • 중요도: 중
  • 유형: 실시간 탐지
  • 로그 스키마: Scribery tlog 레코딩 (scribery-tlog-recording)
  • 대상 수집모델
    • Scribery tlog

쿼리

명령줄에서 sudo 명령어 패턴을 탐지합니다.

| eval pattern = groups(cmd_line, "(\\bsudo\\b)")
| search isnotnull(pattern)
| eval pattern = trim(strjoin("\n", foreach(if(isnull(_1), "", _1), pattern)))

메시지

  • $hostname에서 $user 계정이 sudo 명령어 실행

출력 필드 순서

  • _log_time, pattern, hostname, user, term_type, cmd_line, output, in_bin, out_bin

위협 분석

  • sudo 명령어는 암호를 입력받으면 timestamp_timeout 시간 동안 이어지는 sudo 명령에 대해 암호를 반복적으로 묻지 않습니다.
  • 인가된 사용자가 세션을 잠그지 않고 자리를 비운 경우, 공격자는 터미널에서 인가되지 않은 명령을 관리자 권한으로 실행할 수 있습니다.

오탐 유형

  • 정상적인 sudo 실행 시에도 탐지되므로, 이후에 이어지는 TTP 이벤트를 추적하여 이상 여부를 확인해야 합니다.

대응 방안

  • timestamp_timeout 을 0으로 설정하면 sudo 실행 시 항상 암호를 요구하도록 보안 수준을 강화할 수 있습니다.

  • /etc/sudoers 파일에서 아래와 같이 tty_tickets 설정을 활성화하여 사용자가 현재 터미널 세션(TTY)에서만 인증 정보를 재사용하도록 합니다.

    Defaults tty_tickets
    

MITRE ATT&CK