Bash Shell 配置文件修改
编辑Bash Shell 配置文件修改
编辑~/.bash_profile 和 ~/.bashrc 都是包含 shell 命令的文件,这些命令在调用 Bash 时会运行。当用户登录时,无论以交互方式还是非交互方式,这些文件都会在用户的上下文中执行,以便正确设置其环境。攻击者可能会滥用此功能,通过执行由用户 shell 触发的恶意内容来建立持久性。
规则类型: 查询
规则索引:
- logs-endpoint.events.*
- auditbeat-*
严重程度: 中等
风险评分: 47
每隔: 5 分钟
搜索索引时间范围: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 域:端点
- 操作系统:macOS
- 操作系统:Linux
- 用例:威胁检测
- 战术:持久性
- 数据源:Elastic Defend
版本: 104
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑event.category:file and event.type:change and
process.name:(* and not (sudo or vim or zsh or env or nano or bash or Terminal or xpcproxy or login or cat or cp or
launchctl or java or dnf or tailwatchd or ldconfig or yum or semodule or cpanellogd or dockerd or authselect or chmod or
dnf-automatic or git or dpkg or platform-python)) and
not process.executable:(/Applications/* or /private/var/folders/* or /usr/local/* or /opt/saltstack/salt/bin/*) and
file.path:(/private/etc/rc.local or
/etc/rc.local or
/home/*/.profile or
/home/*/.profile1 or
/home/*/.bash_profile or
/home/*/.bash_profile1 or
/home/*/.bashrc or
/Users/*/.bash_profile or
/Users/*/.zshenv)
框架: MITRE ATT&CKTM
-
战术
- 名称:持久性
- ID:TA0003
- 参考网址:https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称:事件触发执行
- ID:T1546
- 参考网址:https://attack.mitre.org/techniques/T1546/
-
子技术
- 名称:Unix Shell 配置修改
- ID:T1546.004
- 参考网址:https://attack.mitre.org/techniques/T1546/004/