Suspicious Access to Linux Shadow File
Detects read attempts against the /etc/shadow file on Linux systems, a technique used by attackers to extract password hashes and perform offline cracking after gaining initial access to the system
EDRlinuxshadow-filecredential-accessbeginnerT1003.008
FDR Beginnerby CQL Hub 1 min read
Query
#repo="base_sensor" #event_simpleName=ProcessRollup2
| event_platform=Lin
| CommandLine=/\/etc\/shadow/
| FileName=/(?i)(cat|head|tail|less|more|cp|scp|base64|xxd)/
| groupBy([ComputerName, UserName, FileName], function=[count(as=access_count), collect(CommandLine)])
| sort(access_count, order=desc, limit=30)Explanation
| Pipe | Descripción | ||||
|---|---|---|---|---|---|
| `#event_simpleName=ProcessRollup2 \ | event_platform=Lin` | Filtra creación de procesos en endpoints Linux | |||
CommandLine=/\/etc\/shadow/ | Detecta cualquier referencia al archivo shadow en la línea de comandos del proceso | ||||
| `FileName=/(?i)(cat\ | head\ | tail\ | less\ | ...)/` | Filtra herramientas comunes de lectura y copia de archivos que podrían exfiltrar contenido de shadow |
groupBy([ComputerName, UserName, FileName], ...) | Agrupa por host, usuario y herramienta con recolección de comandos completos para contexto | ||||
sort(access_count, order=desc, limit=30) | Ordena por frecuencia de acceso para priorizar investigación de los casos más activos |
Adjustable Variables
Agregar más herramientas de lectura a FileName (awk, sed, grep, vi, vim, nano). Excluir usuarios de servicio conocidos que acceden legítimamente como parte de backups. Ampliar detección a /etc/passwd para cobertura más amplia de enumeración de credenciales.