来源：https://abhijithraom.medium.com/linux-threat-hunting-know-your-penguins-169297bd444a

https://atomicredteam.io/

https://github.com/Neo23x0/auditd

https://www.elastic.co/beats/auditbeat

检测Linux的ATT&CK技术和战术：https://github.com/Kirtar22/Litmus_Test

这篇博客强调了开源平台如何利用端点上的一系列规则和配置来检测简单到复杂的攻击。

当Linux日志也可以像Windows-Sysmon日志一样收集和分析时，这是多么有趣的事情啊!是的!这可以通过秘密调味汁——Auditbeat来实现。

下面让我们看看如何利用收集到的日志来分析mitre映射攻击。

ART(Atomic Red Team)已经成为完成仿真的完美选择，我在之前的博客中已经演示过了。采用Linux系统，使用Beats模块提升检测范围。https://abhijithraom.medium.com/threat-hunting-with-elk-wazuh-b604fd05d18e

一、使用的工具

1. Elastic Stack

2. Auditbeat

3. Atomic Red Team (ART)

这里的关键工具是在端点上使用Auditbeat进行定性日志收集。

Auditbeat是Beats Family中功能强大的日志发送组件，它是收集Linux审计框架数据和监控主机上文件完整性的理想工具。

Auditbeat有3种类型的模块：https://www.elastic.co/guide/en/beats/auditbeat/current/auditbeat-installation-configuration.html

Auditd——该模块建立对内核的订阅，以便在发生事件时接收事件。为了捕获这些事件，可以根据需求编写特定的规则。提取良好的规则集可以从这里引用[Florian Roth的规则:)]，https://github.com/Neo23x0/auditd

文件完整性——它检查文件系统的完整性。

系统——这个模块专门用于收集5种类型的数据集，即主机，登录，进程，套接字，用户。详细信息可以在这里阅读。

二、演示:

技术#1:执行-命令和脚本解释器- Python: T1059.006

为了检测命令行活动，模拟了臭名昭著的lazagne工具包从内存、浏览器、wifi等转储密码，APT 33、APT34, Leafminer过去使用过这些凭证转储器。

lazagne executed on endpoint for password dumping

python utility is used to dump password from memory

技术#2:持久性-创建或修改系统进程:Systemd服务:T1543.002

Systemd是属于“init”系统的软件，用于在后台管理服务/资源，并确保系统启动时服务处于启动状态。对手利用这个实用程序来获得系统级别的持久性。

systemctl utility is used to “initialize” auditbeat service

技术#3:持久性—计划任务/作业:Cron: T1053.003

Cron是内置的实用工具，用于定期调度脚本或服务的运行。对手利用这个实用程序来获得系统级别的持久性。

nano editor is used to create cron jobs

技术#4:特权升级-滥用提升控制机制:Setuid和Setgid: T1548.001

setuid和setgid是Linux系统中与访问权限相关的两个标志。这些标志允许用户分别以可执行文件的所有者或组的文件系统权限运行可执行文件。Chmod实用程序可以用来设置特定文件的标志。

chmod utility is used to set those two flags

技术#5:防御逃避-隐藏的文物:隐藏的文件和目录:T1564.001

在Unix/Linux系统中，文件/文件夹可以使用".”前缀。实际上，这是为了避免用户不小心修改文件。要查看这些隐藏文件，可以使用“ls -a”来显示隐藏文件。apt喜欢使用这些技巧作为防御机制。

mkdir utility is used to create hidden directories

技术#6:防御逃避-移除主机上的指示器:Timestomp: T1070.006

时间践踏是一种修改文件时间戳(Modify, Access, Create, Change - MACB)的技术，其结果是模拟时间属性。

touch utility is used for timestomping

这些样本检测揭示了auditbeat如何在威胁搜索活动中发挥作用。同样，许多用例可以通过参考MITRE框架来创建和检测。