/proc/ のメモリファイルにアクセスがありました
Incident Management が一般に使用できるようになりました。 Incident Management が広範に使用できるようになりました。
<  Back to rules search

/proc/ のメモリファイルにアクセスがありました

Classification:

コンプライアンス

Framework:

Control:

概要

目標

サイバー攻撃者は、ターゲットに隣接したホストまたはコンテナへのアクセスが可能なターゲットを特に狙っています。狙いを定めたターゲットにスライド式に移動するために、対象とするホストまたはコンテナへのアクセスを可能にする認証情報を見つけようとしています。この認証情報を見つけるテクニックに、メモリダンピングがあります。システムメモリのコンテンツをディスクへダンプすることで、暗号化されていない認証情報を入手することができるのです。

戦略

この検出機能では、Linux の “/proc/” ディレクトリからアクセスできるメモリおよびメモリマップへのアクセスを監視します。

トリアージと対応

  1. この行為が期待したものでない場合、ホストまたはコンテナを停止し、既知の良質なコンフィギュレーションへとロールバックします。
  2. ホスト/コンテナで使用された認証情報をローテーションすることをご検討ください。