T1222: Изменение разрешений для файлов и каталогов
Злоумышленники могут изменять разрешения и атрибуты файлов и каталогов для обхода списков контроля доступа (ACL) и получения доступа к защищенным файлам. Управление разрешениями файлов и каталогов обычно осуществляется с помощью списков контроля доступа, настроенных владельцем файла или каталога либо пользователями с соответствующими правами. На разных платформах используются разные механизмы реализации списков контроля доступа к файлам и каталогам, но все они, как правило, в явном виде указывают списки пользователей и групп, которые могут выполнять те или иные действия (чтение, запись, выполнение и т. д.).
Злоумышленники могут изменять отдельные права доступа, что может потребовать получения прав владельца файла или каталога и (или) повышенных привилегий в зависимости от текущих разрешений для файла или каталога. Таким образом, злоумышленники смогут выполнять такие вредоносные действия, как изменение, замена или удаление отдельных файлов или каталогов. Изменение параметров отдельных файлов и каталогов может быть необходимым этапом при реализации многих техник, таких как закрепление через специальные возможности, сценарии инициализации при загрузке или входе в систему, изменение конфигурации командной оболочки Unix, а также перехват потока исполнения с целью заражения или перехвата других ключевых бинарных файлов или файлов конфигурации.
Злоумышленники могут также изменять разрешения для символьных ссылок. Например, вредоносное ПО (особенно программы-вымогатели) может изменять символьные ссылки и связанные с ними настройки, чтобы получить доступ к файлам через локальные ярлыки, ссылающиеся на удаленные ресурсы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
yandex_cloud: PT-CR-814: Yandex_Cloud_Bucket_Suspicious_Activity: Список доступа или политики доступа бакета изменены yandex_cloud: PT-CR-813: Yandex_Cloud_Bucket_Became_Public_Using_ACL: Бакет стал общедоступным с помощью списка контроля доступа yandex_cloud: PT-CR-812: Yandex_Cloud_Bucket_Became_Public: Бакет стал общедоступным
Подтехники
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут изменять разрешения и атрибуты файлов и каталогов для обхода списков контроля доступа (ACL) и получения доступа к защищенным файлам. |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Отслеживайте изменения в ACL и правах владения файлами/каталогами. Многие команды для изменения ACL и прав владения файлами и каталогами представляют собой системные утилиты, которые могут вызывать множество ложных срабатываний. Сравнивайте их с обычным поведением системы и по возможности сопоставляйте изменения с другими признаками вредоносной активности. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Многие команды для изменения ACL и прав владения файлами и каталогами представляют собой системные утилиты, которые могут вызывать множество ложных срабатываний. Сравнивайте их с обычным поведением системы и по возможности сопоставляйте изменения с другими признаками вредоносной активности. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Отслеживайте и рассматривайте попытки изменения списков контроля доступа и прав владельца для файлов/каталогов. |
---|
Меры противодействия
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Применение более строгих разрешений к файлам и каталогам может помешать злоумышленникам изменять списки контроля доступа. Кроме того, проследите, чтобы пользовательские настройки локальных и удаленных символических ссылок были установлены правильно или отключены, если в них нет необходимости. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Проследите, чтобы критически важные системные файлы, а также файлы, которые, как известно, могут быть использованы злоумышленниками, имели ограниченные права доступа и принадлежали соответствующей привилегированной учетной записи, особенно если доступ к ним не требуется пользователям и не препятствует функционированию системы. |
---|