HFA-004 Linux auditd Tool Transfer Log

Source Alias:

AUD-004

원본 경로:

/var/log/audit/audit.log

auditd key:

hanguel_tool_transfer

조건:

curl, wget 실행

주요 event.action:

hanguel_tool_transfer, tool_transfer

커버 Technique:

T1105

분석 포인트

event.action : ("hanguel_tool_transfer" or "tool_transfer")