深入瞭解Linux平臺中的持久性、許可權，提升技術和檢測

Splunk 威脅研究團隊添加了 Linux 特權升級和 Linux 持久性技術分析故事，以説明安全運營中心 （SOC） 分析師和安全研究人員在 Linux 操作系統平臺中使用這些技術檢測對手或惡意軟體。在這篇文章中，我們將深入研究這兩種策略的一些流行技術和檢測方法。本文將是我們 2022 年 1 月發佈的文章的深入剖析部分。

分析故事
持久性由不同的技術組成，供攻擊者或惡意軟體作者在啟動、重新啟動計算機甚至憑據更改期間保持其在目標或受感染系統上的立足點和訪問許可權。許可權提升是一種策略，攻擊者試圖為其惡意程式碼獲取提升或更高級別的許可權，以利用 root 或管理員許可權。這些技術通常與提升上下文中的持久性技術重疊或配合使用。

以下分析是為Linux作業系統平台設計的。我們使用 sysmon linux 作為檢測開發的主要事件日誌集合。我們建議您閱讀，安裝此工具以及用於此分析的splunk sysmon TA。

分析案例是我們的威脅研究團隊預構建的檢測和回應所支援的完整安全用例。讓我們討論一下這個分析故事的高級概述，該故事引入了32個新的檢測。 

<閱讀全文>