› › ›

在容器内修改动态链接器预加载共享对象

在容器内修改动态链接器预加载共享对象编辑

此规则检测容器内动态链接器预加载共享对象 (ld.so.preload) 的创建或修改。Linux 动态链接器用于在运行时加载程序所需的库。攻击者可能会通过修改 /etc/ld.so.preload 文件以指向恶意库来劫持动态链接器。此行为可用于授予对系统资源的未经授权的访问，并且已用于逃避在容器环境中检测恶意进程。

规则类型：eql

规则索引:

logs-cloud_defend*

严重性：高

风险评分: 73

运行频率：5 分钟

搜索索引的时间范围：now-6m（日期数学格式，另请参阅额外回溯时间）

每次执行的最大警报数: 100

参考:

标签:

数据源：Elastic Defend for Containers
域：容器
战术：防御规避

版本: 1

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

规则查询编辑

file where event.module== "cloud_defend" and event.type != "deletion" and file.path== "/etc/ld.so.preload"

框架：MITRE ATT&CK^TM

战术
- 名称：防御规避
- ID：TA0005
- 参考链接：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：劫持执行流
- ID：T1574
- 参考链接：https://attack.mitre.org/techniques/T1574/
子技术
- 名称：动态链接器劫持
- ID：T1574.006
- 参考链接：https://attack.mitre.org/techniques/T1574/006/

« 修改动态链接器预加载共享对象通过未签名或不受信任的父级修改环境变量 »