主机文件被修改

端点上的 hosts 文件用于控制手动将 IP 地址解析为主机名的过程。hosts 文件是 DNS 主机名解析的第一个查找点，因此，如果攻击者可以修改端点 hosts 文件，他们就可以将流量路由到恶意基础设施。此规则检测对 Microsoft Windows、Linux（Ubuntu 或 RHEL）和 macOS 系统上 hosts 文件的修改。

规则类型: eql

规则索引:

auditbeat-*
winlogbeat-*
logs-endpoint.events.*
logs-windows.*

严重性: 中等

风险评分: 47

每隔: 5 分钟运行

搜索索引时间范围: now-9m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

https://elastic.ac.cn/guide/en/beats/auditbeat/current/auditbeat-reference-yml.html

标签:

领域：端点
操作系统：Linux
操作系统：Windows
操作系统：macOS
用例：威胁检测
策略：影响
资源：调查指南
数据源：Elastic Defend

版本: 210

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查主机文件被修改的情况

操作系统使用 hosts 文件在访问域名服务器之前映射 IP 地址和域名之间的连接。攻击者可以滥用此机制将流量路由到恶意基础设施或破坏依赖于服务器通信的安全措施。例如，俄罗斯威胁行为者修改了域控制器上的此文件，将 Duo MFA 调用重定向到 localhost 而不是 Duo 服务器，从而阻止了 MFA 服务联系其服务器以验证 MFA 登录。这实际上禁用了活动域帐户的 MFA，因为 Duo for Windows 的默认策略是在 MFA 服务器无法访问时“失败打开”。这可能发生在任何 MFA 实现中，并不仅限于 Duo。更多详情请参见此 CISA 警报。

此规则使用 Linux 的进程创建事件以及 Windows 和 macOS 中的文件事件，识别多个操作系统中 hosts 文件的修改。

可能的调查步骤

确定相关资产的详细信息，例如角色、重要性和关联用户。
调查未知进程的进程执行链（父进程树）。检查其可执行文件是否存在、是否位于预期位置以及是否使用有效的数字签名进行签名。
确定执行此操作的用户帐户以及该帐户是否应该执行此类操作。
联系帐户所有者，确认他们是否知道此活动。
调查过去 48 小时内与该用户/主机相关的其他警报。
通过将 hosts 文件与文件备份、卷影副本和其他还原机制进行比较来检查对 hosts 文件的更改。

误报分析

此机制可以合法使用。如果管理员了解该活动并且配置是合理的，则分析师可以忽略该警报。

响应和补救措施

根据分类结果启动事件响应流程。
考虑隔离相关主机以防止进一步的入侵后行为。
调查受感染系统或攻击者使用的系统上的凭据泄露，确保识别所有受感染的帐户。重置这些帐户以及其他可能受感染的凭据（例如电子邮件、业务系统和 Web 服务）的密码。
查看执行此操作的管理员帐户的权限。
运行完整的反恶意软件扫描。这可能会发现系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始载体，并采取措施防止通过相同的载体再次感染。
使用事件响应数据更新日志记录和审核策略，以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

对于使用 Auditbeat 的 Windows 系统，此规则需要在 auditbeat.yml 的 *file_integrity* 模块中添加 C:/Windows/System32/drivers/etc 作为附加路径。

如果在低于 8.2 版本的非 elastic-agent 索引（例如 beats）上启用 EQL 规则，则事件将不会定义 event.ingested，并且直到 8.2 版本才添加 EQL 规则的默认回退。因此，为了使此规则有效运行，用户需要添加一个自定义摄取管道来将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参考 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询

编辑

any where

  /* file events for creation; file change events are not captured by some of the included sources for linux and so may
     miss this, which is the purpose of the process + command line args logic below */
  (
   event.category == "file" and event.type in ("change", "creation") and
     file.path : ("/private/etc/hosts", "/etc/hosts", "?:\\Windows\\System32\\drivers\\etc\\hosts") and
     not process.name in ("dockerd", "rootlesskit", "podman", "crio")
  )
  or

  /* process events for change targeting linux only */
  (
   event.category == "process" and event.type in ("start") and
     process.name in ("nano", "vim", "vi", "emacs", "echo", "sed") and
     process.args : ("/etc/hosts") and
     not process.parent.name in ("dhclient-script", "google_set_hostname")
  )

框架: MITRE ATT&CK^TM

策略
- 名称：影响
- ID：TA0040
- 参考网址：https://attack.mitre.org/tactics/TA0040/
技术
- 名称：数据操纵
- ID：T1565
- 参考网址：https://attack.mitre.org/techniques/T1565/
子技术
- 名称：存储数据操纵
- ID：T1565.001
- 参考网址：https://attack.mitre.org/techniques/T1565/001/

« 通过 Windows Linux 子系统更改主机文件系统 Hping 进程活动 »