노출 서비스, 악성 파일, 탈취 계정으로 user process가 시작된다.
auth·service·exec 기록방어는 공격 이름이 아니라 권한 전이 지점에 건다
침해는 진입 한 번으로 끝나지 않는다. 실행 주체의 자격 증명과 허용 범위가 바뀌고, 그 권한으로 지속성·유출·자원 고갈이 이어질 때 비로소 피해가 커진다.
setuid, file capability, sudo 정책 또는 커널 결함을 노린다.
UID·capability 변화보호 파일·프로세스·네트워크 설정에 접근 범위를 넓힌다.
syscall·LSM 거부/허용unit·cron 변경, secret 읽기, CPU·메모리 독점으로 피해를 유지한다.
파일 변경·자원 압력- 실패 조건
- 과도한 setuid·file capability
- 차단
no_new_privs, capability 최소화, 패치
① exec 권한 경계
- 실패 조건
- 넓은 DAC/ACL 또는 MAC 정책 공백
- 차단
- SELinux·AppArmor, seccomp, 최소 권한
② syscall·객체 경계
- 실패 조건
- 지속성 경로와 자원에 제한 없음
- 차단
- unit 변경 감사, cgroup·rlimit, 격리
③ 영향 확산 경계
로그가 없다는 사실은 공격이 없었다는 증명이 아니다. 먼저 audit가 켜졌고 유실 없이 수집됐는지 확인한 뒤 사건 순서를 복원한다.
auditctl -s → lost=0