Spacebar Campaigns
Home / ClusterDrain / Campaign Logs / LX-001

LX-001 Deploy Host Auditd Log

Log ID:
LX-001
Source:
Linux auditd
Representative Path:
/var/log/audit/audit.log
Dataset:
sb05.attacker_audit
Kibana Data View:
logs-*
Format:
Linux auditd text record
Primary Use:
로컬 staging 디렉터리 접근, zip 실행, archive 파일 생성, S3 업로드 전후 호스트 행위 확인

공격 행위 요약

공격자는 Kubernetes API로 수집한 리소스 정보, Secret 조회 결과, Pod exec 결과, RBAC 변경 결과를 침해된 배포/운영 지점의 로컬 staging 디렉터리에 저장했다. 이후 zip 유틸리티로 archive 파일을 만들고 AWS CLI를 통해 S3 업로드 단계로 연결했다.

로그 발생 위치

staging, archive 생성, zip 실행은 Kubernetes API 요청이 아니라 로컬 운영체제의 파일 시스템 및 프로세스 실행 행위다. 따라서 침해된 배포/운영 지점의 /var/log/audit/audit.log에서 확인한다.

수집 방식

Linux auditd에서 staging 디렉터리, archive 디렉터리, /usr/bin/zip 실행 파일에 대한 감시 규칙을 설정한다. 생성된 auditd 로그는 Elastic Agent custom log input으로 logs-* 인덱스에 적재한다.

주요 auditd 레코드

Record의미
SYSCALL파일 생성/수정 또는 프로세스 실행과 관련된 시스템 호출 정보
EXECVE실행된 명령어와 인자
PATH생성되거나 접근된 파일 또는 디렉터리 경로
CWD명령 실행 당시 작업 디렉터리
PROCTITLE실행 명령을 hex 형태로 기록한 값
CONFIG_CHANGEaudit rule 추가 또는 변경 기록

주요 탐지 포인트

Technique탐지 기준KQL
T1074.001 Data Staged: Local Data Stagingstaging 디렉터리에 파일 생성, 수정, 속성 변경 이벤트가 발생한다. Kubernetes 수집 행위 이후 여러 결과 파일이 같은 위치에 모이면 고신뢰 이벤트로 본다.data_stream.dataset:"sb05.attacker_audit" and message:*sb05_staging*
T1560.001 Archive Collected Data: Archive via Utilityzip 실행 또는 archive 디렉터리 내 압축 파일 생성이 확인된다.data_stream.dataset:"sb05.attacker_audit" and message:(*sb05_zip_exec* or *sb05_archive*)
T1567.002 Exfiltration Over Web Servicearchive 생성 이후 AWS CLI 실행 또는 S3 업로드와 연결되는 파일 접근이 확인된다.data_stream.dataset:"sb05.attacker_audit" and message:(*aws* or *s3* or *sb05_archive*)

추가 KQL

data_stream.dataset:"sb05.attacker_audit" and message:*sb05_staging* and message:*PATH*
data_stream.dataset:"sb05.attacker_audit" and message:*comm=\"zip\"*
data_stream.dataset:"sb05.attacker_audit" and message:*sb05_archive* and message:*nametype=CREATE*
data_stream.dataset:"sb05.attacker_audit" and message:(*sb05_staging* or *sb05_zip_exec* or *sb05_archive*)

Investigation Pivot