T1222.001: Изменение разрешений для файлов и каталогов (Windows)
Злоумышленники могут изменять разрешения и атрибуты файлов и каталогов для обхода списков контроля доступа (ACL) и получения доступа к защищенным файлам. Управление разрешениями файлов и каталогов обычно осуществляется с помощью списков контроля доступа, настроенных владельцем файла или каталога либо пользователями с соответствующими правами. На разных платформах используются разные механизмы реализации списков контроля доступа к файлам и каталогам, но все они, как правило, в явном виде указывают списки пользователей и групп, которые могут выполнять те или иные действия (чтение, запись, выполнение и т. д.).
В Windows списки контроля доступа к файлам и каталогам реализованы в виде списков управления доступом на уровне пользователей (DACL). Как и обычные списки контроля доступа, списки управления доступом на уровне пользователей содержат перечень учетных записей, которым разрешен или запрещен доступ к защищаемому объекту. При попытке доступа к защищаемому объекту система последовательно проверяет записи управления доступом в DACL. Если соответствующий элемент найден, доступ к объекту предоставляется; если нет — в доступе будет отказано.
Для работы с DACL злоумышленники могут использовать встроенные команды Windows, такие как icacls
, cacls
, takeown
и attrib
, которые позволяют расширить права доступа к отдельным файлам и папкам. Кроме того, для извлечения или изменения списков управления доступом к файлам и каталогам на уровне пользователей могут использоваться командлеты PowerShell. Изменение параметров отдельных файлов и каталогов может быть необходимым этапом при реализации многих техник, таких как закрепление через специальные возможности, сценарии инициализации при загрузке или входе в систему, а также перехват потока исполнения с целью заражения или перехвата других ключевых бинарных файлов или файлов конфигурации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
active_directory_attacks: PT-CR-1342: Subrule_PowerView_Objects_Actions: Удаленное изменение доменных объектов (доменные пользователи и группы, учетные записи компьютеров) с помощью инструмента PowerView (PowerViewPy) active_directory_attacks: PT-CR-1344: Remote_Actions_With_Domain_Objects: Использован сценарий из набора PowerView. Злоумышленники используют инструмент PowerView для разведки в доменах Windows
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте создание процессов и (или) выполнение командных строк, которые могут взаимодействовать с DACL посредством встроенных команд Windows, таких как icacls, cacls, takeown и attrib, позволяя злоумышленникам расширить права доступа к определенным файлам и папкам. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | По возможности проводите аудит изменений разрешений доступа к файлам/каталогам, которые содержат важные бинарные/конфигурационные файлы. При внесении изменений в DACL создаются события в журнале безопасности Windows (например, событие с идентификатором 4670). Иногда злоумышленники изменяют права доступа к объекту на уровне операционной системы. Подобный метод может быть выбран по ряду причин — например, если злоумышленники хотят оставить ряд файлов или других объектов в системах без изменений, чтобы сохранить закрепление, и оставляют право доступа к ним только администраторам или им нужен доступ к файлам с более низким уровнем привилегий. Журналы среды в Windows содержат множество различной информации, поэтому нужно принимать во внимание следующее:
Аналитика 1. Изменение прав доступа в Windows
|
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте команды с аргументами, которые позволяют вызывать командлеты PowerShell для извлечения или изменения списков управления доступом к файлам и каталогам на уровне пользователей. |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Отслеживайте изменения в DACL и правах владения файлами/каталогами. Многие команды для изменения DACL и прав владения файлами и каталогами представляют собой системные утилиты, которые могут вызывать множество ложных срабатываний. Сравнивайте их с обычным поведением системы и по возможности сопоставляйте изменения с другими признаками вредоносной активности. |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Проследите, чтобы критически важные системные файлы, а также файлы, о которых известно, что они использовались злоумышленниками, имели ограниченные права доступа и принадлежали соответствующим привилегированным учетным записям, особенно если доступ к ним не требуется пользователям и не препятствует функционированию системы. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Применение более строгих разрешений к файлам и каталогам может помешать злоумышленникам изменять списки контроля доступа. |
---|