MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1222.002: Изменение разрешений для файлов и каталогов (Linux и Mac)

Злоумышленники могут изменять разрешения и атрибуты файлов и каталогов для обхода списков контроля доступа (ACL) и получения доступа к защищенным файлам. Управление разрешениями файлов и каталогов обычно осуществляется с помощью списков контроля доступа, настроенных владельцем файла или каталога либо пользователями с соответствующими правами. На разных платформах используются разные механизмы реализации списков контроля доступа к файлам и каталогам, но все они, как правило, в явном виде указывают списки пользователей и групп, которые могут выполнять те или иные действия (чтение, запись, выполнение и т. д.).

На большинстве Linux-систем и платформ на базе Linux есть стандартный набор групп разрешений (пользователь, группа и другие) и стандартный набор разрешений (чтение, запись и выполнение), которые устанавливаются для каждой группы. Особенности реализации механизмов управления доступом на каждой платформе могут различаться, но на большинстве платформ есть две основные команды для управления списками контроля доступа к файлам и каталогам: chown (сокращение от change owner — "изменить владельца") и chmod (сокращение от change mode — "изменить режим").

Злоумышленники могут воспользоваться этими командами, чтобы назначить себя владельцами файлов и каталогов или изменить режим доступа, если текущие разрешения это позволяют. В таком случае они смогут и заблокировать доступ к файлу для других пользователей. Изменение параметров отдельных файлов и каталогов может быть необходимым этапом при реализации многих техник, таких как закрепление через изменение конфигурации командной оболочки Unix или перехват потока исполнения с целью заражения или перехвата других ключевых бинарных файлов или файлов конфигурации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_defense_evasion: PT-CR-1073: Unix_API_Calls_from_Home_Directory: Вызов системного API процессом, запущенным из домашнего каталога пользователя
unix_mitre_attck_defense_evasion: PT-CR-488: Unix_API_Calls_from_Suspicious_Directory: Вызов системного API процессом, запущенным из неожиданного каталога

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for newly executed processes that may modify file or directory permissions/attributes to evade access control lists (ACLs) and access protected files.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Many of the commands used to modify ACLs and file/directory ownership are built-in system utilities and may generate a high false positive alert rate, so compare against baseline knowledge for how systems are typically used and correlate modification events with other indications of malicious activity where possible. Commonly abused command arguments include chmod +x, chmod -R 755, and chmod 777.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Monitor and investigate attempts to modify ACLs and file/directory ownership. Consider enabling file/directory permission change auditing on folders containing key binary/configuration files.

This looks for any invocations of chmod. Note that this is likely to be more noisy than the Windows-specific implementation, although Linux does not generate logs for system triggered activities like in Windows. In addition, it may be necessary to whitelist cron jobs that regularly run and execute chmod.

Linux environment logs can be more noisy than the Windows-specific implementation, although Linux does not generate logs for system triggered activities like in Windows. In addition, it may be necessary to whitelist cron jobs that regularly run and execute chmod.

Analytic 1 - Access Permission Modification for Linux

source="linux:" CommandLine="chmod*"

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Applying more restrictive permissions to files and directories could prevent adversaries from modifying the access control lists.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ensure critical system files as well as those known to be abused by adversaries have restrictive permissions and are owned by an appropriately privileged account, especially if access is not required by users nor will inhibit system functionality.