Descripción de la Tecnica
Disable or Modify Linux Audit System Log es una técnica del MITRE ATT&CK que describe cómo atacantes pueden desactivar o modificar el sistema de auditoría en Linux para ocultar actividades maliciosas y evitar la detección. El sistema de auditoría Linux, conocido como auditd, opera a nivel kernel y registra eventos críticos de seguridad, como procesos, red, archivos y logins, basándose en reglas preconfiguradas.
¿Como Funciona?
El sistema de auditoría Linux (auditd) es una herramienta clave para monitorear actividades del sistema. Al desactivarlo o alterarlo, un atacante puede evitar que se registren eventos relacionados con comportamientos anómalos. Esto incluye la modificación de reglas de auditoría, la eliminación de archivos de log o la configuración de permisos inadecuados para evitar que los registros sean accesibles.
Actores que la Utilizan
No se han identificado actores específicos asociados a esta técnica en bases de datos públicas. La técnica se aplica a ataques cibernéticos generalizados, sin atribuir a organizaciones o grupos particulares basado en los datos proporcionados.
Detección
La detección de este tipo de ataque requiere monitoreo continuo del sistema de auditoría. Se deben buscar cambios inusuales en las reglas de auditoría, ausencia de registros de eventos críticos o alteraciones en los archivos de log. Herramientas como audit2allow o ausearch pueden ayudar a identificar patrones anómalos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso públicos disponibles.
Mitigación
Para mitigar el riesgo, se recomienda: 1. habilitar y configurar correctamente auditd con reglas de auditoría robustas. 2. Realizar revisiones periódicas de los archivos de log y las reglas de auditoría. 3. Implementar controles de acceso estrictos a los registros de seguridad. 4. Monitorear cambios en el sistema que puedan alterar la funcionalidad del sistema de auditoría.