主机文件已修改

主机文件已修改编辑

端点上的主机文件用于控制手动 IP 地址到主机名的解析。主机文件是 DNS 主机名解析的第一个查找点，因此，如果攻击者可以修改端点主机文件，他们就可以将流量路由到恶意基础设施。此规则检测 Microsoft Windows、Linux（Ubuntu 或 RHEL）和 macOS 系统上主机文件的修改。

规则类型: eql

规则索引:

auditbeat-*
winlogbeat-*
logs-endpoint.events.*
logs-windows.*

严重性: 中等

风险评分: 47

每隔: 5 分钟运行一次

从以下时间开始搜索索引: now-9m（日期数学格式，另请参见 附加回溯时间）

每次执行的最大警报数: 100

参考:

https://elastic.ac.cn/guide/en/beats/auditbeat/current/auditbeat-reference-yml.html

标签:

域：端点
操作系统：Linux
操作系统：Windows
操作系统：macOS
用例：威胁检测
策略：影响
资源：调查指南
数据源：Elastic Defend

版本: 108

规则作者:

Elastic

规则许可：Elastic 许可证 v2

调查指南编辑

分类和分析

调查主机文件已修改

操作系统使用主机文件在访问域名服务器之前映射 IP 地址和域名之间的连接。攻击者可以滥用此机制将流量路由到恶意基础设施或破坏依赖服务器通信的安全。例如，俄罗斯威胁行为者修改了域控制器上的此文件，将 Duo MFA 调用重定向到本地主机而不是 Duo 服务器，这阻止了 MFA 服务联系其服务器以验证 MFA 登录。这实际上禁用了活动域帐户的 MFA，因为 Duo for Windows 的默认策略是在 MFA 服务器不可达时“失败打开”。这可能发生在任何 MFA 实现中，并不局限于 Duo。在此 CISA 警报中查找更多详细信息。

此规则使用 Linux 的进程创建事件和 Windows 和 macOS 中的文件事件，识别跨多个操作系统的 hosts 文件中的修改。

可能的调查步骤

识别相关资产的具体信息，例如角色、关键性和关联用户。
调查未知进程的进程执行链（父进程树）。检查其可执行文件是否普遍存在，它们是否位于预期位置，以及它们是否已使用有效的数字签名进行签名。
识别执行操作的用户帐户，以及它是否应该执行此类操作。
联系帐户所有者并确认他们是否知道此活动。
调查过去 48 小时内与用户/主机关联的其他警报。
通过将 hosts 文件与文件备份、卷影副本和其他还原机制进行比较，检查 hosts 文件的更改。

误报分析

此机制可以合法使用。如果管理员知道此活动并且配置合理，分析师可以忽略此警报。

响应和补救

根据分类结果启动事件响应流程。
考虑隔离涉及主机以防止进一步的入侵后行为。
调查攻击者入侵或使用的系统上的凭据泄露情况，以确保识别出所有受入侵的帐户。重置这些帐户和其他可能受入侵的凭据的密码，例如电子邮件、业务系统和网络服务。
查看执行该操作的管理员帐户的权限。
运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他伪像、持久性机制和恶意软件组件。
确定攻击者滥用的初始媒介，并采取措施防止通过同一媒介进行重新感染。
使用事件响应数据，更新日志记录和审计策略，以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

对于使用 Auditbeat 的 Windows 系统，此规则要求在 auditbeat.yml 的 file_integrity 模块中添加 C:/Windows/System32/drivers/etc 作为附加路径。

如果在非 elastic-agent 索引（例如 beats）上启用 EQL 规则（适用于版本 <8.2），则事件不会定义 event.ingested，并且在版本 8.2 之前未添加 EQL 规则的默认后备。因此，为了让此规则有效工作，用户需要添加一个自定义摄取管道来填充 event.ingested 到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

any where

  /* file events for creation; file change events are not captured by some of the included sources for linux and so may
     miss this, which is the purpose of the process + command line args logic below */
  (
   event.category == "file" and event.type in ("change", "creation") and
     file.path : ("/private/etc/hosts", "/etc/hosts", "?:\\Windows\\System32\\drivers\\etc\\hosts") and
     not process.name in ("dockerd", "rootlesskit", "podman", "crio")
  )
  or

  /* process events for change targeting linux only */
  (
   event.category == "process" and event.type in ("start") and
     process.name in ("nano", "vim", "vi", "emacs", "echo", "sed") and
     process.args : ("/etc/hosts") and
     not process.parent.name in ("dhclient-script", "google_set_hostname")
  )

框架: MITRE ATT&CK^TM

策略
- 名称：影响
- ID：TA0040
- 参考网址：https://attack.mitre.org/tactics/TA0040/
技术
- 名称：数据操纵
- ID：T1565
- 参考网址：https://attack.mitre.org/techniques/T1565/
子技术
- 名称：存储数据操纵
- ID：T1565.001
- 参考网址：https://attack.mitre.org/techniques/T1565/001/

« 通过适用于 Linux 的 Windows 子系统进行主机文件系统更改 Hping 进程活动 »