› › ›

受污染的内核模块加载

受污染的内核模块加载编辑

此规则监控 syslog 日志文件，以查找与受污染内核模块加载实例相关联的消息。Rootkit 通常利用内核模块作为其主要的防御规避技术。检测受污染的内核模块加载对于确保系统安全和完整性至关重要，因为恶意或未经授权的模块会破坏内核，并导致系统漏洞或未经授权的访问。

规则类型：查询

规则索引:

logs-system.syslog-*

严重性：低

风险评分: 21

每隔：5 分钟运行一次

从以下时间开始搜索索引：now-9m（日期数学格式，另请参见 附加回溯时间）

每次执行的最大警报数: 100

参考：无

标签:

域：端点
操作系统：Linux
用例：威胁检测
策略：持久性
策略：防御规避

版本: 4

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

设置编辑

设置

此规则要求数据来自以下集成之一：- Filebeat

Filebeat 设置

Filebeat 是一个轻量级转发器，用于转发和集中日志数据。Filebeat 作为代理安装在服务器上，监控指定的日志文件或位置，收集日志事件，并将它们转发到 Elasticsearch 或 Logstash 以进行索引。

应按顺序执行以下步骤，以添加 Linux 系统的 Filebeat

Elastic 为基于 APT 和 YUM 的发行版提供可用的存储库。请注意，我们提供二进制包，但不提供源包。
要安装 APT 和 YUM 存储库，请按照此帮助指南中的设置说明进行操作。
要在 Docker 上运行 Filebeat，请按照帮助指南中的设置说明进行操作。
要在 Kubernetes 上运行 Filebeat，请按照帮助指南中的设置说明进行操作。
有关 Filebeat 的快速入门信息，请参阅帮助指南。
有关 Filebeat 的完整设置和运行信息，请参阅帮助指南。

规则特定设置说明

此规则要求启用 Filebeat 系统模块。
系统模块收集和解析由常见基于 Unix/Linux 的发行版的系统日志服务创建的日志。
要在 Linux 上运行 Filebeat 的系统模块，请按照帮助指南中的设置说明进行操作。

规则查询编辑

host.os.type:linux and event.dataset:"system.syslog" and process.name:kernel and
message:"module verification failed: signature and/or required key missing - tainting kernel"

框架: MITRE ATT&CK^TM

策略
- 名称：持久性
- ID：TA0003
- 参考 URL：https://attack.mitre.org/tactics/TA0003/
技术
- 名称：引导或登录自动启动执行
- ID：T1547
- 参考 URL：https://attack.mitre.org/techniques/T1547/
子技术
- 名称：内核模块和扩展
- ID：T1547.006
- 参考 URL：https://attack.mitre.org/techniques/T1547/006/
策略
- 名称：防御规避
- ID：TA0005
- 参考 URL：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：Rootkit
- ID：T1014
- 参考 URL：https://attack.mitre.org/techniques/T1014/

« 通过挂载的 APFS 快照访问绕过 TCC 受污染的非树内核模块加载 »