译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1146
术语表: /attack/glossary
macOS 和 Linux 都会记录用户在终端中输入的命令,以便用户能够轻松地记住做过的事情。可以通过几种不同的方式访问这些日志。在登录时,此命令会被记录在环境变量 HISTFILE 指向的文件中。当用户从系统中注销时,该记录被写入到用户主目录一个称为、~/.bash_history
的文件中。这样做的好处是使用户能够追溯到以前在不同会话中使用过的命令。由于所有在命令行上键入的内容都会保存,因此也会包括在命令行上传递的密码。攻击者可以滥用这点从这些文件中搜索明文密码。此外,攻击者可以使用多种方法来避免自己的命令出现日志中,比如命令
unset HISTFILE, export HISTFILESIZE=0, history -c, rm \~/.bash_history
.
阻止用户删除或写入某些文件可以阻止攻击者恶意更改其~/.bash_history
文件。
此外,设置这些环境变量为只读可以确保保留历史记录 。
用户进行身份验证,而在其~/.bash_history
没有新条目是可疑的,特别是通过 SSH 这样的远程终端服务进行身份验证。
此外,修改 HISTFILE 和 HISTFILESIZE 环境变量或删除/清除~/.bash_history
文件标志着可疑活动。