Hosts 文件被修改

端点上的 hosts 文件用于控制手动 IP 地址到主机名的解析。hosts 文件是 DNS 主机名解析的第一个查找点，因此如果攻击者可以修改端点 hosts 文件，他们可以将流量路由到恶意基础设施。此规则检测 Microsoft Windows、Linux (Ubuntu 或 RHEL) 和 macOS 系统上对 hosts 文件的修改。

规则类型: eql

规则索引:

auditbeat-*
winlogbeat-*
logs-endpoint.events.*
logs-windows.*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式, 另请参阅 附加回溯时间)

每次执行的最大警报数: 100

参考:

https://elastic.ac.cn/guide/en/beats/auditbeat/current/auditbeat-reference-yml.html

标签:

域: 端点
操作系统: Linux
操作系统: Windows
操作系统: macOS
用例: 威胁检测
策略: 影响
资源: 调查指南
数据源: Elastic Defend

版本: 210

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 Hosts 文件被修改

操作系统使用 hosts 文件来映射 IP 地址和域名之间的连接，然后再转到域名服务器。攻击者可以滥用此机制将流量路由到恶意基础设施或中断依赖于服务器通信的安全性。例如，俄罗斯威胁行为者修改了域控制器上的此文件，将 Duo MFA 调用重定向到 localhost 而不是 Duo 服务器，这阻止了 MFA 服务联系其服务器以验证 MFA 登录。这有效地禁用了活动域帐户的 MFA，因为 Duo for Windows 的默认策略是如果 MFA 服务器无法访问则“Fail open”。这种情况可能发生在任何 MFA 实现中，并不局限于 Duo。请在此 CISA 警报中找到更多详细信息。

此规则使用 Linux 的进程创建事件以及 Windows 和 macOS 中的文件事件来识别跨多个操作系统中对 hosts 文件的修改。

可能的调查步骤

确定所涉及资产的详细信息，例如角色、重要性和关联用户。
调查未知进程的进程执行链（父进程树）。检查它们的可执行文件是否普遍存在、是否位于预期位置以及是否使用有效的数字签名进行签名。
确定执行操作的用户帐户以及该帐户是否应该执行此类操作。
联系帐户所有者并确认他们是否了解此活动。
调查过去 48 小时内与用户/主机关联的其他警报。
通过将其与文件备份、卷影副本和其他恢复机制进行比较，来检查对 hosts 文件的更改。

误报分析

此机制可以合法使用。如果管理员了解该活动并且配置是合理的，则分析师可以忽略该警报。

响应和补救

根据分类的结果启动事件响应过程。
考虑隔离所涉及的主机，以防止进一步的后期入侵行为。
调查攻击者入侵或使用的系统上的凭据泄露，以确保识别所有受损帐户。重置这些帐户和其他可能受损的凭据的密码，例如电子邮件、业务系统和 Web 服务。
审查执行操作的管理员帐户的权限。
运行完整的反恶意软件扫描。这可能会揭示系统中遗留的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始向量，并采取行动以防止通过相同的向量再次感染。
使用事件响应数据，更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

对于使用 Auditbeat 的 Windows 系统，此规则需要在 auditbeat.yml 的 file_integrity 模块中添加 C:/Windows/System32/drivers/etc 作为附加路径。

如果在版本 <8.2 的非弹性代理索引（例如 beats）上启用 EQL 规则，则事件将不定义 event.ingested，并且 EQL 规则的默认回退在版本 8.2 之前未添加。因此，为了使此规则有效工作，用户将需要添加自定义摄取管道以将 event.ingested 填充为 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询

编辑

any where

  /* file events for creation; file change events are not captured by some of the included sources for linux and so may
     miss this, which is the purpose of the process + command line args logic below */
  (
   event.category == "file" and event.type in ("change", "creation") and
     file.path : ("/private/etc/hosts", "/etc/hosts", "?:\\Windows\\System32\\drivers\\etc\\hosts") and
     not process.name in ("dockerd", "rootlesskit", "podman", "crio")
  )
  or

  /* process events for change targeting linux only */
  (
   event.category == "process" and event.type in ("start") and
     process.name in ("nano", "vim", "vi", "emacs", "echo", "sed") and
     process.args : ("/etc/hosts") and
     not process.parent.name in ("dhclient-script", "google_set_hostname")
  )

框架: MITRE ATT&CK^TM

策略
- 名称: 影响
- ID: TA0040
- 参考 URL: https://attack.mitre.org/tactics/TA0040/
技术
- 名称: 数据操作
- ID: T1565
- 参考 URL: https://attack.mitre.org/techniques/T1565/
子技术
- 名称: 存储数据操作
- ID: T1565.001
- 参考 URL: https://attack.mitre.org/techniques/T1565/001/

« 通过 Windows 子系统 for Linux 修改主机文件系统 Hping 进程活动 »