Bash Shell 配置文件修改
编辑Bash Shell 配置文件修改编辑
~/.bash_profile 和 ~/.bashrc 都是包含在调用 Bash 时运行的 shell 命令的文件。 当用户登录时,会在用户的上下文中以交互方式或非交互方式执行这些文件,以便正确设置他们的环境。 攻击者可能会滥用这一点,通过执行由用户 shell 触发的恶意内容来建立持久性。
规则类型:查询
规则索引:
- logs-endpoint.events.*
- auditbeat-*
严重性:中等
风险评分: 47
运行频率:5 分钟
搜索的索引范围:now-9m(日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域:端点
- 操作系统:macOS
- 操作系统:Linux
- 用例:威胁检测
- 战术:持久性
- 数据源:Elastic Defend
版本: 104
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
规则查询编辑
event.category:file and event.type:change and
process.name:(* and not (sudo or vim or zsh or env or nano or bash or Terminal or xpcproxy or login or cat or cp or
launchctl or java or dnf or tailwatchd or ldconfig or yum or semodule or cpanellogd or dockerd or authselect or chmod or
dnf-automatic or git or dpkg or platform-python)) and
not process.executable:(/Applications/* or /private/var/folders/* or /usr/local/* or /opt/saltstack/salt/bin/*) and
file.path:(/private/etc/rc.local or
/etc/rc.local or
/home/*/.profile or
/home/*/.profile1 or
/home/*/.bash_profile or
/home/*/.bash_profile1 or
/home/*/.bashrc or
/Users/*/.bash_profile or
/Users/*/.zshenv)
框架:MITRE ATT&CKTM
-
战术
- 名称:持久性
- ID:TA0003
- 参考链接:https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称:事件触发执行
- ID:T1546
- 参考链接:https://attack.mitre.org/techniques/T1546/
-
子技术
- 名称:Unix Shell 配置修改
- ID:T1546.004
- 参考链接:https://attack.mitre.org/techniques/T1546/004/