/etc/shadow 파일에 저장된 암호 해시 덤프 시 탐지합니다.

쿼리

tcpdump 명령어 실행을 탐지합니다. 와일드카드 매칭과 정규표현식을 함께 사용하여 단어 경계(\b)로 시작하고 공백(\s)이 뒤따르는 실제 tcpdump 명령 실행을 정확하게 식별합니다.

| search contains(cmd_line, "/etc/shadow") and match(cmd_line, "\\bcat\\s+/etc/shadow\\b")

메시지

• 암호 덤프: $host_ip ($hostname)

출력 필드 순서

• _log_time, client_ip, host_ip, hostname, user, group, image, working_dir, log_type, cmd_line

위협 분석

• 공격자가 권한 상승(Privilege Escalation) 후 비밀번호 해시를 탈취하려는 시도일 수 있습니다.
• 탈취한 해시는 John the Ripper, Hashcat 등의 도구로 오프라인 크래킹하여 평문 비밀번호를 획득할 수 있습니다.

오탐 유형

• 시스템 관리자의 정상적인 계정 관리 또는 보안 감사 작업에서 탐지될 수 있습니다. 이 경우에는 예외 조건을 추가하여 오탐을 방지합니다.
  • 예시: 보안팀의 설정 점검, 운영팀의 계정 상태 확인

대응 방안

• 실행 사용자의 권한 및 정당성을 확인합니다.
• 해당 시스템에서 선행된 권한 상승 시도 여부를 조사합니다.
• shadow 파일 내용의 외부 전송(scp, curl 등) 시도 여부를 확인합니다.
• 비인가 접근 확인 시 해당 계정을 즉시 격리하고, 시스템 전체 비밀번호 변경을 검토합니다.

MITRE ATT&CK

• 전술
  • Credential Access
• 기법
  • 이름: OS Credential Dumping: /etc/passwd and /etc/shadow
  • ID: T1003.008
  • 참조 URL: https://attack.mitre.org/techniques/T1003/008/