Детект изменений критичных файлов на Linux
После первичного проникновения на Linux атакующие почти всегда пытаются изменить небольшой набор критичных файлов для повышения привилегий и закрепления.
Какие файлы атакуют чаще всего
Наиболее важные цели:
/etc/passwdи/etc/shadow;/etc/sudoersи/etc/sudoers.d/*;- cron-пути
/etc/cron*и/var/spool/cron/*; authorized_keys;/etc/ld.so.preload.
Изменения в этих файлах часто означают манипуляцию доступом или persistence.
Почему это опасно
Даже одно успешное изменение может:
- дать постоянный несанкционированный доступ;
- пережить перезапуски сервисов и reboot;
- упростить дальнейшее развитие атаки.
Часто такие действия теряются в операционном шуме и замечаются слишком поздно.
Практичный подход к детекту
Эффективный детект должен:
- отслеживать create/modify/rename/link в чувствительные пути;
- снижать ложные срабатывания на легитимные админские сценарии;
- при этом сигнализировать, когда к таким файлам обращается нетипичный процесс.
Встроенное правило SecureExec sensitive_file_tamper реализует именно этот подход.
Как SecureExec помогает расследовать
SecureExec хранит в Elasticsearch алерты вместе со связанными событиями и процессным контекстом. Это даёт быстрые ответы:
- что именно изменили;
- какой процесс это сделал;
- какая родительская цепочка к этому привела;
- какие действия были дальше.
Такая история критична для решений: ротация секретов, перевыпуск ключей, пересборка хоста, расширение scope инцидента.
Превратите изменения критичных файлов в управляемый процесс реагирования
Контроль чувствительных путей не должен быть “по остаточному принципу”. Детектируйте рано, сохраняйте контекст и расследуйте на основе фактов.
Используйте SecureExec, чтобы видеть опасные изменения на Linux-серверах и иметь полную историю для incident response.