容器内动态链接器预加载共享对象的修改
编辑容器内动态链接器预加载共享对象的修改
编辑此规则检测在容器内部创建或修改动态链接器预加载共享对象 (ld.so.preload) 的行为。Linux 动态链接器用于在运行时加载程序所需的库。攻击者可以通过修改 /etc/ld.so.preload 文件以指向恶意库来劫持动态链接器。此行为可用于授予对系统资源的未授权访问,并已用于逃避容器环境中恶意进程的检测。
规则类型: eql
规则索引:
- logs-cloud_defend*
严重性: 高
风险评分: 73
运行频率: 5 分钟
搜索索引时间范围: now-6m ( 日期数学格式,另请参阅 额外的回溯时间 )
每次执行的最大警报数: 100
参考资料:
标签:
- 数据源: Elastic Defend for Containers
- 域: 容器
- 策略: 防御规避
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑file where event.module== "cloud_defend" and event.type != "deletion" and file.path== "/etc/ld.so.preload"
框架: MITRE ATT&CKTM
-
策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: 劫持执行流程
- ID: T1574
- 参考 URL: https://attack.mitre.org/techniques/T1574/
-
子技术
- 名称: 动态链接器劫持
- ID: T1574.006
- 参考 URL: https://attack.mitre.org/techniques/T1574/006/