容器内动态链接器预加载共享对象的修改
编辑容器内动态链接器预加载共享对象的修改
编辑此规则检测在容器内创建或修改动态链接器预加载共享对象 (ld.so.preload) 的行为。Linux 动态链接器用于在运行时加载程序所需的库。攻击者可能会通过修改 /etc/ld.so.preload 文件来指向恶意库,从而劫持动态链接器。此行为可用于获取对系统资源的未授权访问,并已被用于逃避容器环境中恶意进程的检测。
规则类型: eql
规则索引:
- logs-cloud_defend*
严重性: 高
风险评分: 73
每隔: 5 分钟
搜索索引自: now-6m (日期数学格式,另见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 数据来源:Elastic Defend for Containers
- 领域:容器
- 策略:防御规避
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑file where event.module== "cloud_defend" and event.type != "deletion" and file.path== "/etc/ld.so.preload"
框架: MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID:TA0005
- 参考网址:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:劫持执行流
- ID:T1574
- 参考网址:https://attack.mitre.org/techniques/T1574/
-
子技术
- 名称:动态链接器劫持
- ID:T1574.006
- 参考网址:https://attack.mitre.org/techniques/T1574/006/