› › ›

受污染的内核模块加载

此规则监控 syslog 日志文件，以查找与受污染的内核模块加载实例相关的消息。Rootkit 通常利用内核模块作为其主要的防御规避技术。检测受污染的内核模块加载对于确保系统安全性和完整性至关重要，因为恶意或未经授权的模块可能会危及内核，并导致系统漏洞或未经授权的访问。

规则类型: 查询

规则索引:

logs-system.syslog-*

严重程度: 低

风险评分: 21

每隔: 5 分钟

搜索索引自: now-9m (日期数学格式，另请参见 其他回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

域：端点
操作系统：Linux
用例：威胁检测
策略：持久性
策略：防御规避

版本: 4

规则作者:

Elastic

规则许可证: Elastic License v2

设置

编辑

设置

此规则需要来自以下集成之一的数据：- Filebeat

Filebeat 设置

Filebeat 是一款轻量级转发器，用于转发和集中日志数据。Filebeat 作为代理安装在您的服务器上，监控您指定的日志文件或位置，收集日志事件，并将它们转发到 Elasticsearch 或 Logstash 以进行索引。

以下步骤应按顺序执行，以添加 Linux 系统的 Filebeat

Elastic 提供了适用于基于 APT 和 YUM 的发行版的存储库。请注意，我们提供二进制包，但不提供源包。
要安装 APT 和 YUM 存储库，请按照此辅助指南中的设置说明进行操作。
要在 Docker 上运行 Filebeat，请按照辅助指南中的设置说明进行操作。
要在 Kubernetes 上运行 Filebeat，请按照辅助指南中的设置说明进行操作。
有关 Filebeat 的快速入门信息，请参阅辅助指南。
有关 Filebeat 的完整设置和运行信息，请参阅辅助指南。

规则特定设置说明

此规则要求启用 Filebeat 系统模块。
系统模块收集并解析由常见 Unix/Linux 基于发行版的系统日志服务创建的日志。
要在 Linux 上运行 Filebeat 的系统模块，请按照辅助指南中的设置说明进行操作。

规则查询

编辑

host.os.type:linux and event.dataset:"system.syslog" and process.name:kernel and
message:"module verification failed: signature and/or required key missing - tainting kernel"

框架: MITRE ATT&CK^TM

策略
- 名称：持久性
- ID：TA0003
- 参考网址：https://attack.mitre.org/tactics/TA0003/
技术
- 名称：启动或登录自动启动执行
- ID：T1547
- 参考网址：https://attack.mitre.org/techniques/T1547/
子技术
- 名称：内核模块和扩展
- ID：T1547.006
- 参考网址：https://attack.mitre.org/techniques/T1547/006/
策略
- 名称：防御规避
- ID：TA0005
- 参考网址：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：Rootkit
- ID：T1014
- 参考网址：https://attack.mitre.org/techniques/T1014/

« 通过挂载的 APFS 快照访问绕过 TCC 受污染的树外内核模块加载 »