T1548: Обход механизмов контроля привилегий

Злоумышленники могут обходить механизмы контроля привилегий для получения дополнительных прав в системе. Большинство современных систем имеют встроенные механизмы управления уровнем привилегий, предназначенные для ограничения прав пользователей. Для выполнения задач, которые могут быть связаны с повышенным риском, пользователи должны получать разрешения. Злоумышленники могут применять различные методы, чтобы получить доступ к встроенным механизмам управления и повысить уровень своих привилегий в системе.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_privilege_escalation: PT-CR-1663: Unix_Privilege_Escalation_Via_GTFOBINS: Запуск терминала с повышенными привилегиями с помощью утилиты группы GTFOBins. GTFOBins - двоичные файлы Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно настроенных системах pt_nad: PT-CR-737: NAD_SAM_Account_Name_Spoofing: Пользователь запросил TGT-билет sap_suspicious_user_activity: PT-CR-235: SAPASABAP_Development_Transaction_Usage: Запуск транзакции разработки sap_suspicious_user_activity: PT-CR-234: SAPASABAP_Debug_Mode_Usage: Пользователь запустил режим отладки sap_suspicious_user_activity: PT-CR-251: SAPASABAP_Start_Critical_Report: Запуск критически важного отчета SAP active_directory_attacks: PT-CR-831: Computer_Delegation_Configured: В домене настроен один из видов делегирования: неограниченное делегирование, ограниченное делегирование или ограниченное делегирование на основе ресурсов. Злоумышленник может использовать эту настройку, чтобы получить TGT или TGS-билеты пользователей, повысить привилегии и горизонтально переместиться на другие узлы инфраструктуры active_directory_attacks: PT-CR-654: SAM_Account_Name_Spoofing: Пользователь переименовал объект AD или запросил TGT-билет от имени учетной записи, совпадающей с именем контроллера домена. Это может свидетельствовать об атаке sAMAccountName spoofing. Она может позволить злоумышленнику получить TGT-билет, например на имя контроллера домена, закрепиться в системе и повысить свои привилегии

Подтехники

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут обойти механизмы контроля привилегий для получения дополнительных прав в системе. После проникновения в систему Windows злоумышленники часто получают привилегии учетной записи SYSTEM, чтобы повысить эффективность атак. Такие инструменты, как Meterpreter, Cobalt Strike и Empire, автоматически выполняют все необходимые действия для повышения привилегий до уровня учетной записи SYSTEM. Для получения системных привилегий большинство таких инструментов применяют несколько методов. Один из них — создание именованного канала и подключение к нему процесса cmd.exe, что позволяет злоумышленникам действовать от имени системы. Вторая техника заключается во внедрении вредоносной DLL-библиотеки в процесс, запущенный от имени учетной записи SYSTEM; внедренная DLL-библиотека извлекает токен SYSTEM и при необходимости использует его для повышения уровня привилегий. Этот анализ отслеживает обе этих техники.

Анализ 1. Повышение уровня привилегий до системных

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688")(ParentImage="C:\Windows\System32\services.exe" Image="C:\Windows\System32\cmd.exe" CommandLine="echo" CommandLine="\pipe*") OR (Image="C:\Windows\System32\rundll32.exe" CommandLine=",a /p:*")

IDDS0002Источник и компонент данныхУчетная запись пользователя: Изменения в учетной записиОписание

Фиксируйте в журнале вызовы API, выполняющие присваивание, создание или имперсонацию дополнительных ролей, политик и разрешений. Проверяйте использование JIT-доступа (на определенное время): обоснования для доступа должны быть правдоподобными, а действия — только ожидаемыми.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для обхода механизмов контроля привилегий с целью получения дополнительных прав в системе.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Отслеживайте в файловой системе те файлы, для которых установлены биты setuid или setgid. В Linux модуль auditd может присылать уведомления каждый раз, если реальный (actual ID) и эффективный (effective ID) идентификаторы пользователей не совпадают (что всегда происходит при использовании sudo).

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Также отслеживайте в любых вызовах API поведение, которое может указывать на внедрение кода в процессы. Отслеживание выполнения обратных вызовов API ОС также может помочь в обнаружении такого поведения, но для этого нужны специализированные средства безопасности.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

В Linux модуль auditd может присылать уведомления каждый раз, если реальный (actual ID) и эффективный (effective ID) идентификаторы пользователей не совпадают (что всегда происходит при использовании sudo). Данная техника злоупотребляет особенностями обычной работы систем macOS и Linux, но если установить соответствующие директивы LOG_INPUT и LOG_OUTPUT в файле /etc/sudoers, sudo будет записывать все входные и выходные данные. По возможности отслеживайте выполнение /usr/libexec/security_authtrampoline, что может указать на выполнение AuthorizationExecuteWithPrivileges. Кроме того, в macOS вызов AuthorizationExecuteWithPrivileges может записываться в системных журналах.

IDDS0009Источник и компонент данныхПроцесс: Метаданные процессаОписание

Отслеживайте контекстные данные запущенных процессов, такие как переменные окружения, имя образа, пользователь и владелец, которые могут использоваться для обхода механизмов контроля привилегий с целью получения дополнительных прав в системе.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Существует множество методов обхода UAC для пользователей, входящих в локальную группу администраторов, и настроить обнаружение всех их вариаций может быть непросто. Рекомендуется сосредоточиться на предотвращении запуска процессов и действий как до, так и после обхода UAC, а также на сборе данных об этих процессах и действиях. Некоторые методы обхода UAC полагаются на модификацию конкретных настроек реестра, доступных пользователю. При анализе рекомендуется отслеживать несанкционированные изменения настроек реестра.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте права облачных учетных записей на присваивание, создание или имперсонацию дополнительных ролей, политик и разрешений, оставив их только у тех пользователей, которым это необходимо. При использовании JIT-доступа установите требование одобрять временное повышение уровня привилегий вручную.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

При использовании MDM проследите, чтобы предоставляемые разрешения соответствовали требованиям бинарного файла. Полный доступ к диску должны иметь только те бинарные файлы, которым он необходим, в соответствии с политикой.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Удалите ненужных пользователей из группы локальных администраторов в системах.

IDM1028НазваниеИзменение конфигурации ОСОписание

Проследите, чтобы параметр tty_tickets был включен, это предотвратит утечку данных между сессиями tty.

IDM1038НазваниеЗащита от выполненияОписание

В системных настройках можно запретить запуск приложений, загруженных не через Apple Store, что поможет устранить некоторые из этих проблем. Запрет на запуск неподписанных приложений также может снизить риск.

IDM1047НазваниеАудитОписание

Регулярно проверяйте приложения с помощью Автоматизации в разделе Системные настройки безопасности и конфиденциальности. Чтобы сбросить разрешения, пользователь может воспользоваться командой tccutil reset. При использовании системы управления мобильными устройствами (MDM) просмотрите список включенных или отключенных приложений в файле MDMOverrides.plist, который переопределяет базу данных TCC.

IDM1051НазваниеОбновление ПООписание

Регулярно обновляйте программное обеспечение. По возможности проследите, чтобы в системах была установлена macOS Sierra+ и включен SIP.

IDM1052НазваниеКонтроль учетных записейОписание

Несмотря на существование техник обхода UAC, разумно использовать самый высокий уровень применения UAC, когда это возможно, и уменьшать возможности обхода, которые существуют за счет таких техник, как DLL Search Order Hijacking.