T1222: Изменение разрешений для файлов и каталогов

Злоумышленники могут изменять разрешения и атрибуты файлов и каталогов для обхода списков контроля доступа (ACL) и получения доступа к защищенным файлам. Управление разрешениями файлов и каталогов обычно осуществляется с помощью списков контроля доступа, настроенных владельцем файла или каталога либо пользователями с соответствующими правами. На разных платформах используются разные механизмы реализации списков контроля доступа к файлам и каталогам, но все они, как правило, в явном виде указывают списки пользователей и групп, которые могут выполнять те или иные действия (чтение, запись, выполнение и т. д.).

Злоумышленники могут изменять отдельные права доступа, что может потребовать получения прав владельца файла или каталога и (или) повышенных привилегий в зависимости от текущих разрешений для файла или каталога. Таким образом, злоумышленники смогут выполнять такие вредоносные действия, как изменение, замена или удаление отдельных файлов или каталогов. Изменение параметров отдельных файлов и каталогов может быть необходимым этапом при реализации многих техник, таких как закрепление через специальные возможности, сценарии инициализации при загрузке или входе в систему, изменение конфигурации командной оболочки Unix, а также перехват потока исполнения с целью заражения или перехвата других ключевых бинарных файлов или файлов конфигурации.

Злоумышленники могут также изменять разрешения для символьных ссылок. Например, вредоносное ПО (особенно программы-вымогатели) может изменять символьные ссылки и связанные с ними настройки, чтобы получить доступ к файлам через локальные ярлыки, ссылающиеся на удаленные ресурсы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

yandex_cloud: PT-CR-814: Yandex_Cloud_Bucket_Suspicious_Activity: Список доступа или политики доступа бакета изменены yandex_cloud: PT-CR-813: Yandex_Cloud_Bucket_Became_Public_Using_ACL: Бакет стал общедоступным с помощью списка контроля доступа yandex_cloud: PT-CR-812: Yandex_Cloud_Bucket_Became_Public: Бакет стал общедоступным

Подтехники

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут изменять разрешения и атрибуты файлов и каталогов для обхода списков контроля доступа (ACL) и получения доступа к защищенным файлам.

IDDS0026Источник и компонент данныхActive Directory: Изменение объекта Active DirectoryОписание

Отслеживайте изменения в ACL и правах владения файлами/каталогами. Многие команды для изменения ACL и прав владения файлами и каталогами представляют собой системные утилиты, которые могут вызывать множество ложных срабатываний. Сравнивайте их с обычным поведением системы и по возможности сопоставляйте изменения с другими признаками вредоносной активности.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Многие команды для изменения ACL и прав владения файлами и каталогами представляют собой системные утилиты, которые могут вызывать множество ложных срабатываний. Сравнивайте их с обычным поведением системы и по возможности сопоставляйте изменения с другими признаками вредоносной активности.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Отслеживайте и рассматривайте попытки изменения списков контроля доступа и прав владельца для файлов/каталогов.

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Применение более строгих разрешений к файлам и каталогам может помешать злоумышленникам изменять списки контроля доступа. Кроме того, проследите, чтобы пользовательские настройки локальных и удаленных символических ссылок были установлены правильно или отключены, если в них нет необходимости.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Проследите, чтобы критически важные системные файлы, а также файлы, которые, как известно, могут быть использованы злоумышленниками, имели ограниченные права доступа и принадлежали соответствующей привилегированной учетной записи, особенно если доступ к ним не требуется пользователям и не препятствует функционированию системы.