T1222.001: Изменение разрешений для файлов и каталогов (Windows)

Злоумышленники могут изменять разрешения и атрибуты файлов и каталогов для обхода списков контроля доступа (ACL) и получения доступа к защищенным файлам. Управление разрешениями файлов и каталогов обычно осуществляется с помощью списков контроля доступа, настроенных владельцем файла или каталога либо пользователями с соответствующими правами. На разных платформах используются разные механизмы реализации списков контроля доступа к файлам и каталогам, но все они, как правило, в явном виде указывают списки пользователей и групп, которые могут выполнять те или иные действия (чтение, запись, выполнение и т. д.).

В Windows списки контроля доступа к файлам и каталогам реализованы в виде списков управления доступом на уровне пользователей (DACL). Как и обычные списки контроля доступа, списки управления доступом на уровне пользователей содержат перечень учетных записей, которым разрешен или запрещен доступ к защищаемому объекту. При попытке доступа к защищаемому объекту система последовательно проверяет записи управления доступом в DACL. Если соответствующий элемент найден, доступ к объекту предоставляется; если нет — в доступе будет отказано.

Для работы с DACL злоумышленники могут использовать встроенные команды Windows, такие как icacls, cacls, takeown и attrib, которые позволяют расширить права доступа к отдельным файлам и папкам. Кроме того, для извлечения или изменения списков управления доступом к файлам и каталогам на уровне пользователей могут использоваться командлеты PowerShell. Изменение параметров отдельных файлов и каталогов может быть необходимым этапом при реализации многих техник, таких как закрепление через специальные возможности, сценарии инициализации при загрузке или входе в систему, а также перехват потока исполнения с целью заражения или перехвата других ключевых бинарных файлов или файлов конфигурации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

active_directory_attacks: PT-CR-1342: Subrule_PowerView_Objects_Actions: Удаленное изменение доменных объектов (доменные пользователи и группы, учетные записи компьютеров) с помощью инструмента PowerView (PowerViewPy) active_directory_attacks: PT-CR-1344: Remote_Actions_With_Domain_Objects: Использован сценарий из набора PowerView. Злоумышленники используют инструмент PowerView для разведки в доменах Windows

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте создание процессов и (или) выполнение командных строк, которые могут взаимодействовать с DACL посредством встроенных команд Windows, таких как icacls, cacls, takeown и attrib, позволяя злоумышленникам расширить права доступа к определенным файлам и папкам.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

По возможности проводите аудит изменений разрешений доступа к файлам/каталогам, которые содержат важные бинарные/конфигурационные файлы. При внесении изменений в DACL создаются события в журнале безопасности Windows (например, событие с идентификатором 4670).

Иногда злоумышленники изменяют права доступа к объекту на уровне операционной системы. Подобный метод может быть выбран по ряду причин — например, если злоумышленники хотят оставить ряд файлов или других объектов в системах без изменений, чтобы сохранить закрепление, и оставляют право доступа к ним только администраторам или им нужен доступ к файлам с более низким уровнем привилегий.

Журналы среды в Windows содержат множество различной информации, поэтому нужно принимать во внимание следующее:

  • Следует исключить события, генерируемые локальной системой (идентификатор безопасности субъекта NT AUTHORITY\SYSTEM), и сосредоточиться на событиях, связанных с пользователями.
  • Когда изменяются права доступа для папки, соответствующее событие генерируется для всех ее подпапок и находящихся в ней файлов. Рекомендуется группировать журналы по идентификаторам дескрипторов или пользователей.
  • Журнал безопасности Windows (событие с идентификатором 4670) также включает информацию о процессе, который вносит изменения в разрешения файла. Рекомендуется сосредоточиться на поиске процессов с нетипичными именами. Кроме того, настоящие пользователи редко выполняют эту задачу, не используя графический интерфейс.
  • В псевдокоде указан идентификатор события для журнала безопасности Windows (4670: изменены разрешения для объекта).
  • Событие Windows с идентификатором 4719 (изменение политики аудита) также можно использовать в качестве уведомления о внесении изменений в политику аудита Active Directory системы.

Аналитика 1. Изменение прав доступа в Windows

(source="*WinEventLog:Security" EventCode IN (4670, 4719)) Object_Type="File" Security_ID!="NT AUTHORITY\SYSTEM"

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте команды с аргументами, которые позволяют вызывать командлеты PowerShell для извлечения или изменения списков управления доступом к файлам и каталогам на уровне пользователей.

IDDS0026Источник и компонент данныхActive Directory: Изменение объекта Active DirectoryОписание

Отслеживайте изменения в DACL и правах владения файлами/каталогами. Многие команды для изменения DACL и прав владения файлами и каталогами представляют собой системные утилиты, которые могут вызывать множество ложных срабатываний. Сравнивайте их с обычным поведением системы и по возможности сопоставляйте изменения с другими признаками вредоносной активности.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Проследите, чтобы критически важные системные файлы, а также файлы, о которых известно, что они использовались злоумышленниками, имели ограниченные права доступа и принадлежали соответствующим привилегированным учетным записям, особенно если доступ к ним не требуется пользователям и не препятствует функционированию системы.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Применение более строгих разрешений к файлам и каталогам может помешать злоумышленникам изменять списки контроля доступа.