tlog 터미널 로그에서 sudo 명령어를 이용한 권한 상승을 탐지합니다.

개요

• 중요도: 중
• 유형: 실시간 탐지
• 로그 스키마: Scribery tlog 레코딩 (scribery-tlog-recording)
• 대상 수집모델
  • Scribery tlog

쿼리

명령줄에서 sudo 명령어 패턴을 탐지합니다.

| eval pattern = groups(cmd_line, "(\\bsudo\\b)")
| search isnotnull(pattern)
| eval pattern = trim(strjoin("\n", foreach(if(isnull(_1), "", _1), pattern)))

메시지

• $hostname에서 $user 계정이 sudo 명령어 실행

출력 필드 순서

• _log_time, pattern, hostname, user, term_type, cmd_line, output, in_bin, out_bin

위협 분석

• sudo 명령어는 암호를 입력받으면 timestamp_timeout 시간 동안 이어지는 sudo 명령에 대해 암호를 반복적으로 묻지 않습니다.
• 인가된 사용자가 세션을 잠그지 않고 자리를 비운 경우, 공격자는 터미널에서 인가되지 않은 명령을 관리자 권한으로 실행할 수 있습니다.

오탐 유형

• 정상적인 sudo 실행 시에도 탐지되므로, 이후에 이어지는 TTP 이벤트를 추적하여 이상 여부를 확인해야 합니다.

대응 방안

• timestamp_timeout 을 0으로 설정하면 sudo 실행 시 항상 암호를 요구하도록 보안 수준을 강화할 수 있습니다.

• /etc/sudoers 파일에서 아래와 같이 tty_tickets 설정을 활성화하여 사용자가 현재 터미널 세션(TTY)에서만 인증 정보를 재사용하도록 합니다.

  Defaults tty_tickets
  

MITRE ATT&CK

• 전술
  • Privilege Escalation
• 기법
  • 이름: Abuse Elevation Control Mechanism: Sudo and Sudo Caching
  • ID: T1548.003
  • 참조 URL: https://attack.mitre.org/techniques/T1548/003/