Classification:
コンプライアンス
Framework:
Control:
カーネルモジュールはホストの起動時に自動でコードを実行するために使用できます。攻撃者は時にカーネルモジュールを使って特定のホストの永続性を取得し、システムの再起動後でも攻撃用のコードを実行してくることがあります。また、カーネルモジュールからシステムの管理者特権を取得することもできます。
カーネルモジュールは Linux の “/lib/modules” ディレクトリに読み込まれます。この検知機能は対象のディレクトリに作成されたすべての新規ファイルを監視します。
このページ