Bash Shell 配置文件修改
编辑Bash Shell 配置文件修改
编辑~/.bash_profile 和 ~/.bashrc 都是包含在 Bash 被调用时运行的 shell 命令的文件。当用户登录时,这些文件会在用户的上下文中以交互或非交互方式执行,以便正确设置其环境。攻击者可能会滥用此方法,通过执行由用户 shell 触发的恶意内容来建立持久性。
规则类型: 查询
规则索引:
- logs-endpoint.events.*
- auditbeat-*
严重性: 中
风险评分: 47
运行频率: 5分钟
搜索索引时间范围: now-9m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 域: 端点
- 操作系统: macOS
- 操作系统: Linux
- 用例: 威胁检测
- 战术: 持久化
- 数据源: Elastic Defend
版本: 104
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑event.category:file and event.type:change and
process.name:(* and not (sudo or vim or zsh or env or nano or bash or Terminal or xpcproxy or login or cat or cp or
launchctl or java or dnf or tailwatchd or ldconfig or yum or semodule or cpanellogd or dockerd or authselect or chmod or
dnf-automatic or git or dpkg or platform-python)) and
not process.executable:(/Applications/* or /private/var/folders/* or /usr/local/* or /opt/saltstack/salt/bin/*) and
file.path:(/private/etc/rc.local or
/etc/rc.local or
/home/*/.profile or
/home/*/.profile1 or
/home/*/.bash_profile or
/home/*/.bash_profile1 or
/home/*/.bashrc or
/Users/*/.bash_profile or
/Users/*/.zshenv)
框架: MITRE ATT&CKTM
-
战术
- 名称: 持久化
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称: 事件触发执行
- ID: T1546
- 参考 URL: https://attack.mitre.org/techniques/T1546/
-
子技术
- 名称: Unix Shell 配置修改
- ID: T1546.004
- 参考 URL: https://attack.mitre.org/techniques/T1546/004/