› › ›

受污染的内核模块加载

此规则监视系统日志文件，以查找与受污染的内核模块加载实例相关的消息。Rootkit 通常利用内核模块作为其主要的防御规避技术。检测受污染的内核模块加载对于确保系统安全性和完整性至关重要，因为恶意或未经授权的模块可能会危及内核，并导致系统漏洞或未经授权的访问。

规则类型: 查询

规则索引:

logs-system.syslog-*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参阅额外回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

域: 端点
操作系统: Linux
用例: 威胁检测
策略: 持久化
策略: 防御规避

版本: 4

规则作者:

Elastic

规则许可证: Elastic License v2

设置

编辑

设置

此规则需要来自以下集成之一的数据：- Filebeat

Filebeat 设置

Filebeat 是一款轻量级的数据传输工具，用于转发和集中日志数据。作为代理安装在您的服务器上，Filebeat 会监视您指定的日志文件或位置，收集日志事件，并将它们转发到 Elasticsearch 或 Logstash 进行索引。

应执行以下步骤以添加适用于 Linux 系统的 Filebeat

Elastic 为基于 APT 和 YUM 的发行版提供了存储库。请注意，我们提供二进制软件包，但不提供源代码软件包。
要安装 APT 和 YUM 存储库，请按照此帮助指南中的设置说明进行操作。
要在 Docker 上运行 Filebeat，请按照帮助指南中的设置说明进行操作。
要在 Kubernetes 上运行 Filebeat，请按照帮助指南中的设置说明进行操作。
有关 Filebeat 的快速入门信息，请参阅帮助指南。
有关完整的 Filebeat 设置和运行信息，请参阅帮助指南。

规则特定设置说明

此规则需要启用 Filebeat 系统模块。
系统模块收集和解析常见的基于 Unix/Linux 的发行版的系统日志服务创建的日志。
要在 Linux 上运行 Filebeat 的系统模块，请按照帮助指南中的设置说明进行操作。

规则查询

编辑

host.os.type:linux and event.dataset:"system.syslog" and process.name:kernel and
message:"module verification failed: signature and/or required key missing - tainting kernel"

框架: MITRE ATT&CK^TM

策略
- 名称: 持久化
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称: 启动或登录时自动启动执行
- ID: T1547
- 参考 URL: https://attack.mitre.org/techniques/T1547/
子技术
- 名称: 内核模块和扩展
- ID: T1547.006
- 参考 URL: https://attack.mitre.org/techniques/T1547/006/
策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: Rootkit
- ID: T1014
- 参考 URL: https://attack.mitre.org/techniques/T1014/

« 通过挂载的 APFS 快照访问绕过 TCC 受污染的树外内核模块加载 »