Техника на mitre.org

T1222.001: Изменение разрешений для файлов и каталогов (Windows)

Злоумышленники могут изменять разрешения и атрибуты файлов и каталогов для обхода списков контроля доступа (ACL) и получения доступа к защищенным файлам. Управление разрешениями файлов и каталогов обычно осуществляется с помощью списков контроля доступа, настроенных владельцем файла или каталога либо пользователями с соответствующими правами. На разных платформах используются разные механизмы реализации списков контроля доступа к файлам и каталогам, но все они, как правило, в явном виде указывают списки пользователей и групп, которые могут выполнять те или иные действия (чтение, запись, выполнение и т. д.).

В Windows списки контроля доступа к файлам и каталогам реализованы в виде списков управления доступом на уровне пользователей (DACL). Как и обычные списки контроля доступа, списки управления доступом на уровне пользователей содержат перечень учетных записей, которым разрешен или запрещен доступ к защищаемому объекту. При попытке доступа к защищаемому объекту система последовательно проверяет записи управления доступом в DACL. Если соответствующий элемент найден, доступ к объекту предоставляется; если нет — в доступе будет отказано.

Для работы с DACL злоумышленники могут использовать встроенные команды Windows, такие как icacls, cacls, takeown и attrib, которые позволяют расширить права доступа к отдельным файлам и папкам. Кроме того, для извлечения или изменения списков управления доступом к файлам и каталогам на уровне пользователей могут использоваться командлеты PowerShell. Изменение параметров отдельных файлов и каталогов может быть необходимым этапом при реализации многих техник, таких как закрепление через специальные возможности, сценарии инициализации при загрузке или входе в систему, а также перехват потока исполнения с целью заражения или перехвата других ключевых бинарных файлов или файлов конфигурации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

active_directory_attacks: PT-CR-1342: Subrule_PowerView_Objects_Actions: Удаленное изменение доменных объектов (доменные пользователи и группы, учетные записи компьютеров) с помощью инструмента PowerView (PowerViewPy) active_directory_attacks: PT-CR-1344: Remote_Actions_With_Domain_Objects: Использован сценарий из набора PowerView. Злоумышленники используют инструмент PowerView для разведки в доменах Windows

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте создание процессов и (или) выполнение командных строк, которые могут взаимодействовать с DACL посредством встроенных команд Windows, таких как icacls, cacls, takeown и attrib, позволяя злоумышленникам расширить права доступа к определенным файлам и папкам.

ID	DS0022	Источник и компонент данных	Файл: Метаданные файла	Описание	По возможности проводите аудит изменений разрешений доступа к файлам/каталогам, которые содержат важные бинарные/конфигурационные файлы. При внесении изменений в DACL создаются события в журнале безопасности Windows (например, событие с идентификатором 4670). Иногда злоумышленники изменяют права доступа к объекту на уровне операционной системы. Подобный метод может быть выбран по ряду причин — например, если злоумышленники хотят оставить ряд файлов или других объектов в системах без изменений, чтобы сохранить закрепление, и оставляют право доступа к ним только администраторам или им нужен доступ к файлам с более низким уровнем привилегий. Журналы среды в Windows содержат множество различной информации, поэтому нужно принимать во внимание следующее: Следует исключить события, генерируемые локальной системой (идентификатор безопасности субъекта NT AUTHORITY\SYSTEM), и сосредоточиться на событиях, связанных с пользователями. Когда изменяются права доступа для папки, соответствующее событие генерируется для всех ее подпапок и находящихся в ней файлов. Рекомендуется группировать журналы по идентификаторам дескрипторов или пользователей. Журнал безопасности Windows (событие с идентификатором 4670) также включает информацию о процессе, который вносит изменения в разрешения файла. Рекомендуется сосредоточиться на поиске процессов с нетипичными именами. Кроме того, настоящие пользователи редко выполняют эту задачу, не используя графический интерфейс. В псевдокоде указан идентификатор события для журнала безопасности Windows (4670: изменены разрешения для объекта). Событие Windows с идентификатором 4719 (изменение политики аудита) также можно использовать в качестве уведомления о внесении изменений в политику аудита Active Directory системы. Аналитика 1. Изменение прав доступа в Windows `(source="*WinEventLog:Security" EventCode IN (4670, 4719)) Object_Type="File" Security_ID!="NT AUTHORITY\SYSTEM"`

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте команды с аргументами, которые позволяют вызывать командлеты PowerShell для извлечения или изменения списков управления доступом к файлам и каталогам на уровне пользователей.

ID	DS0026	Источник и компонент данных	Active Directory: Изменение объекта Active Directory	Описание	Отслеживайте изменения в DACL и правах владения файлами/каталогами. Многие команды для изменения DACL и прав владения файлами и каталогами представляют собой системные утилиты, которые могут вызывать множество ложных срабатываний. Сравнивайте их с обычным поведением системы и по возможности сопоставляйте изменения с другими признаками вредоносной активности.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте создание процессов и (или) выполнение командных строк, которые могут взаимодействовать с DACL посредством встроенных команд Windows, таких как icacls, cacls, takeown и attrib, позволяя злоумышленникам расширить права доступа к определенным файлам и папкам.
DS0022	Файл: Метаданные файла	По возможности проводите аудит изменений разрешений доступа к файлам/каталогам, которые содержат важные бинарные/конфигурационные файлы. При внесении изменений в DACL создаются события в журнале безопасности Windows (например, событие с идентификатором 4670). Иногда злоумышленники изменяют права доступа к объекту на уровне операционной системы. Подобный метод может быть выбран по ряду причин — например, если злоумышленники хотят оставить ряд файлов или других объектов в системах без изменений, чтобы сохранить закрепление, и оставляют право доступа к ним только администраторам или им нужен доступ к файлам с более низким уровнем привилегий. Журналы среды в Windows содержат множество различной информации, поэтому нужно принимать во внимание следующее: Следует исключить события, генерируемые локальной системой (идентификатор безопасности субъекта NT AUTHORITY\SYSTEM), и сосредоточиться на событиях, связанных с пользователями. Когда изменяются права доступа для папки, соответствующее событие генерируется для всех ее подпапок и находящихся в ней файлов. Рекомендуется группировать журналы по идентификаторам дескрипторов или пользователей. Журнал безопасности Windows (событие с идентификатором 4670) также включает информацию о процессе, который вносит изменения в разрешения файла. Рекомендуется сосредоточиться на поиске процессов с нетипичными именами. Кроме того, настоящие пользователи редко выполняют эту задачу, не используя графический интерфейс. В псевдокоде указан идентификатор события для журнала безопасности Windows (4670: изменены разрешения для объекта). Событие Windows с идентификатором 4719 (изменение политики аудита) также можно использовать в качестве уведомления о внесении изменений в политику аудита Active Directory системы. Аналитика 1. Изменение прав доступа в Windows `(source="*WinEventLog:Security" EventCode IN (4670, 4719)) Object_Type="File" Security_ID!="NT AUTHORITY\SYSTEM"`
DS0017	Команда: Выполнение команд	Отслеживайте команды с аргументами, которые позволяют вызывать командлеты PowerShell для извлечения или изменения списков управления доступом к файлам и каталогам на уровне пользователей.
DS0026	Active Directory: Изменение объекта Active Directory	Отслеживайте изменения в DACL и правах владения файлами/каталогами. Многие команды для изменения DACL и прав владения файлами и каталогами представляют собой системные утилиты, которые могут вызывать множество ложных срабатываний. Сравнивайте их с обычным поведением системы и по возможности сопоставляйте изменения с другими признаками вредоносной активности.

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Проследите, чтобы критически важные системные файлы, а также файлы, о которых известно, что они использовались злоумышленниками, имели ограниченные права доступа и принадлежали соответствующим привилегированным учетным записям, особенно если доступ к ним не требуется пользователям и не препятствует функционированию системы.

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Применение более строгих разрешений к файлам и каталогам может помешать злоумышленникам изменять списки контроля доступа.

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Проследите, чтобы критически важные системные файлы, а также файлы, о которых известно, что они использовались злоумышленниками, имели ограниченные права доступа и принадлежали соответствующим привилегированным учетным записям, особенно если доступ к ним не требуется пользователям и не препятствует функционированию системы.
M1022	Ограничение разрешений для файлов и каталогов	Применение более строгих разрешений к файлам и каталогам может помешать злоумышленникам изменять списки контроля доступа.