HFA-001 Linux auditd Execve Log

Source Alias:

AUD-001

발생 위치:

App 서버 host

원본 경로:

/var/log/audit/audit.log

auditd key:

hanguel_shell_exec

수집 방식:

hanguel-ir-agent가 host /var/log/audit/audit.log를 읽음

ELK dataset:

auditd.log

커버 Technique:

T1059, T1059.004, T1059.006, T1082, T1083, T1105

주요 필드

Field	Meaning
`log.original`	auditd 원본 이벤트
`comm`	command name
`exe`	실행 파일 경로
`subj`	AppArmor/SELinux subject. 예: `docker-default`
`pid`, `ppid`	process id / parent process id
`uid`	실행 사용자
`key`	audit rule key

subj=docker-default 또는 Docker 경로가 있으면 컨테이너 내부 실행 가능성이 있다.
직전 5분 내 validate_api_suspicious가 있으면 hanguel_shell_exec는 attack으로 승격된다.
공격 예시: bash -c, sh -c, python -c, os.system, /tmp/hanguel, internal-docs, curl, wget.

event.dataset : "auditd.log" and event.action : ("container_shell_exec" or "hanguel_shell_exec")

log.original -> comm -> exe -> subj=docker-default -> 직전 langflow_rce_attempt.