ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1146

术语表: /attack/glossary

清楚的命令历史记录

macOS 和 Linux 都会记录用户在终端中输入的命令,以便用户能够轻松地记住做过的事情。可以通过几种不同的方式访问这些日志。在登录时,此命令会被记录在环境变量 HISTFILE 指向的文件中。当用户从系统中注销时,该记录被写入到用户主目录一个称为、~/.bash_history 的文件中。这样做的好处是使用户能够追溯到以前在不同会话中使用过的命令。由于所有在命令行上键入的内容都会保存,因此也会包括在命令行上传递的密码。攻击者可以滥用这点从这些文件中搜索明文密码。此外,攻击者可以使用多种方法来避免自己的命令出现日志中,比如命令 unset HISTFILE, export HISTFILESIZE=0, history -c, rm \~/.bash_history.

缓解

阻止用户删除或写入某些文件可以阻止攻击者恶意更改其~/.bash_history 文件。 此外,设置这些环境变量为只读可以确保保留历史记录 。

检测

用户进行身份验证,而在其~/.bash_history 没有新条目是可疑的,特别是通过 SSH 这样的远程终端服务进行身份验证。 此外,修改 HISTFILE 和 HISTFILESIZE 环境变量或删除/清除~/.bash_history文件标志着可疑活动。