Техника на mitre.org

T1222.002: Изменение разрешений для файлов и каталогов (Linux и Mac)

Злоумышленники могут изменять разрешения и атрибуты файлов и каталогов для обхода списков контроля доступа (ACL) и получения доступа к защищенным файлам. Управление разрешениями файлов и каталогов обычно осуществляется с помощью списков контроля доступа, настроенных владельцем файла или каталога либо пользователями с соответствующими правами. На разных платформах используются разные механизмы реализации списков контроля доступа к файлам и каталогам, но все они, как правило, в явном виде указывают списки пользователей и групп, которые могут выполнять те или иные действия (чтение, запись, выполнение и т. д.).

На большинстве Linux-систем и платформ на базе Linux есть стандартный набор групп разрешений (пользователь, группа и другие) и стандартный набор разрешений (чтение, запись и выполнение), которые устанавливаются для каждой группы. Особенности реализации механизмов управления доступом на каждой платформе могут различаться, но на большинстве платформ есть две основные команды для управления списками контроля доступа к файлам и каталогам: chown (сокращение от change owner — "изменить владельца") и chmod (сокращение от change mode — "изменить режим").

Злоумышленники могут воспользоваться этими командами, чтобы назначить себя владельцами файлов и каталогов или изменить режим доступа, если текущие разрешения это позволяют. В таком случае они смогут и заблокировать доступ к файлу для других пользователей. Изменение параметров отдельных файлов и каталогов может быть необходимым этапом при реализации многих техник, таких как закрепление через изменение конфигурации командной оболочки Unix или перехват потока исполнения с целью заражения или перехвата других ключевых бинарных файлов или файлов конфигурации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_defense_evasion: PT-CR-488: Unix_API_Calls_From_Suspicious_Directory: Вызов системного API процессом, запущенным из неожиданного каталога unix_mitre_attck_defense_evasion: PT-CR-1073: Unix_API_Calls_From_Home_Directory: Вызов системного API процессом, запущенным из домашнего каталога пользователя

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут изменять разрешения и атрибуты файлов и каталогов для обхода списков контроля доступа (ACL) и получения доступа к защищенным файлам.

ID	DS0022	Источник и компонент данных	Файл: Метаданные файла	Описание	Отслеживайте и рассматривайте попытки изменения списков контроля доступа и прав владельца для файлов/каталогов. По возможности проводите аудит изменений разрешений доступа к файлам/каталогам, которые содержат важные бинарные/конфигурационные файлы. При использовании данного метода будут отслеживаться все вызовы команды chmod. Учтите, что этот метод вызывает больше ложных срабатываний по сравнению с версией для Windows, несмотря на то что в Linux не создаются журналы для системных действий, как это происходит в Windows. Кроме того, вам может понадобиться добавить в белый список задания cron, которые периодически запускают и выполняют команду chmod. В среде Linux данный метод сопряжен с большим количеством ложных срабатываний по сравнению с версией для Windows, несмотря на то что в Linux не создаются журналы для системных действий, как это происходит в Windows. Кроме того, вам может понадобиться добавить в белый список задания cron, которые периодически запускают и выполняют команду chmod. Аналитика 1. Изменение прав доступа в Linux `source="linux:" CommandLine="chmod*"`

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Многие команды для изменения ACL и прав владения файлами и каталогами представляют собой системные утилиты, которые могут вызывать множество ложных срабатываний. Сравнивайте их с обычным поведением системы и по возможности сопоставляйте изменения с другими признаками вредоносной активности. Чаще всего злоумышленники используют такие аргументы команд, как `chmod +x`, `chmod -R 755` и `chmod 777`.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут изменять разрешения и атрибуты файлов и каталогов для обхода списков контроля доступа (ACL) и получения доступа к защищенным файлам.
DS0022	Файл: Метаданные файла	Отслеживайте и рассматривайте попытки изменения списков контроля доступа и прав владельца для файлов/каталогов. По возможности проводите аудит изменений разрешений доступа к файлам/каталогам, которые содержат важные бинарные/конфигурационные файлы. При использовании данного метода будут отслеживаться все вызовы команды chmod. Учтите, что этот метод вызывает больше ложных срабатываний по сравнению с версией для Windows, несмотря на то что в Linux не создаются журналы для системных действий, как это происходит в Windows. Кроме того, вам может понадобиться добавить в белый список задания cron, которые периодически запускают и выполняют команду chmod. В среде Linux данный метод сопряжен с большим количеством ложных срабатываний по сравнению с версией для Windows, несмотря на то что в Linux не создаются журналы для системных действий, как это происходит в Windows. Кроме того, вам может понадобиться добавить в белый список задания cron, которые периодически запускают и выполняют команду chmod. Аналитика 1. Изменение прав доступа в Linux `source="linux:" CommandLine="chmod*"`
DS0017	Команда: Выполнение команд	Многие команды для изменения ACL и прав владения файлами и каталогами представляют собой системные утилиты, которые могут вызывать множество ложных срабатываний. Сравнивайте их с обычным поведением системы и по возможности сопоставляйте изменения с другими признаками вредоносной активности. Чаще всего злоумышленники используют такие аргументы команд, как `chmod +x`, `chmod -R 755` и `chmod 777`.

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Применение более строгих разрешений к файлам и каталогам может помешать злоумышленникам изменять списки контроля доступа.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Проследите, чтобы критически важные системные файлы, а также файлы, о которых известно, что они использовались злоумышленниками, имели ограниченные права доступа и принадлежали соответствующим привилегированным учетным записям, особенно если доступ к ним не требуется пользователям и не препятствует функционированию системы.

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	Применение более строгих разрешений к файлам и каталогам может помешать злоумышленникам изменять списки контроля доступа.
M1026	Управление привилегированными учетными записями	Проследите, чтобы критически важные системные файлы, а также файлы, о которых известно, что они использовались злоумышленниками, имели ограниченные права доступа и принадлежали соответствующим привилегированным учетным записям, особенно если доступ к ним не требуется пользователям и не препятствует функционированию системы.