T1548: Обход механизмов контроля привилегий
Злоумышленники могут обходить механизмы контроля привилегий для получения дополнительных прав в системе. Большинство современных систем имеют встроенные механизмы управления уровнем привилегий, предназначенные для ограничения прав пользователей. Для выполнения задач, которые могут быть связаны с повышенным риском, пользователи должны получать разрешения. Злоумышленники могут применять различные методы, чтобы получить доступ к встроенным механизмам управления и повысить уровень своих привилегий в системе.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_privilege_escalation: PT-CR-1663: Unix_Privilege_Escalation_Via_GTFOBINS: Запуск терминала с повышенными привилегиями с помощью утилиты группы GTFOBins. GTFOBins - двоичные файлы Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно настроенных системах pt_nad: PT-CR-737: NAD_SAM_Account_Name_Spoofing: Пользователь запросил TGT-билет sap_suspicious_user_activity: PT-CR-235: SAPASABAP_Development_Transaction_Usage: Запуск транзакции разработки sap_suspicious_user_activity: PT-CR-234: SAPASABAP_Debug_Mode_Usage: Пользователь запустил режим отладки sap_suspicious_user_activity: PT-CR-251: SAPASABAP_Start_Critical_Report: Запуск критически важного отчета SAP active_directory_attacks: PT-CR-831: Computer_Delegation_Configured: В домене настроен один из видов делегирования: неограниченное делегирование, ограниченное делегирование или ограниченное делегирование на основе ресурсов. Злоумышленник может использовать эту настройку, чтобы получить TGT или TGS-билеты пользователей, повысить привилегии и горизонтально переместиться на другие узлы инфраструктуры active_directory_attacks: PT-CR-654: SAM_Account_Name_Spoofing: Пользователь переименовал объект AD или запросил TGT-билет от имени учетной записи, совпадающей с именем контроллера домена. Это может свидетельствовать об атаке sAMAccountName spoofing. Она может позволить злоумышленнику получить TGT-билет, например на имя контроллера домена, закрепиться в системе и повысить свои привилегии
Подтехники
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут обойти механизмы контроля привилегий для получения дополнительных прав в системе. После проникновения в систему Windows злоумышленники часто получают привилегии учетной записи SYSTEM, чтобы повысить эффективность атак. Такие инструменты, как Meterpreter, Cobalt Strike и Empire, автоматически выполняют все необходимые действия для повышения привилегий до уровня учетной записи SYSTEM. Для получения системных привилегий большинство таких инструментов применяют несколько методов. Один из них — создание именованного канала и подключение к нему процесса cmd.exe, что позволяет злоумышленникам действовать от имени системы. Вторая техника заключается во внедрении вредоносной DLL-библиотеки в процесс, запущенный от имени учетной записи SYSTEM; внедренная DLL-библиотека извлекает токен SYSTEM и при необходимости использует его для повышения уровня привилегий. Этот анализ отслеживает обе этих техники. Анализ 1. Повышение уровня привилегий до системных
|
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Изменения в учетной записи | Описание | Фиксируйте в журнале вызовы API, выполняющие присваивание, создание или имперсонацию дополнительных ролей, политик и разрешений. Проверяйте использование JIT-доступа (на определенное время): обоснования для доступа должны быть правдоподобными, а действия — только ожидаемыми. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для обхода механизмов контроля привилегий с целью получения дополнительных прав в системе. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Отслеживайте в файловой системе те файлы, для которых установлены биты setuid или setgid. В Linux модуль auditd может присылать уведомления каждый раз, если реальный (actual ID) и эффективный (effective ID) идентификаторы пользователей не совпадают (что всегда происходит при использовании sudo). |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Также отслеживайте в любых вызовах API поведение, которое может указывать на внедрение кода в процессы. Отслеживание выполнения обратных вызовов API ОС также может помочь в обнаружении такого поведения, но для этого нужны специализированные средства безопасности. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | В Linux модуль auditd может присылать уведомления каждый раз, если реальный (actual ID) и эффективный (effective ID) идентификаторы пользователей не совпадают (что всегда происходит при использовании sudo). Данная техника злоупотребляет особенностями обычной работы систем macOS и Linux, но если установить соответствующие директивы |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Метаданные процесса | Описание | Отслеживайте контекстные данные запущенных процессов, такие как переменные окружения, имя образа, пользователь и владелец, которые могут использоваться для обхода механизмов контроля привилегий с целью получения дополнительных прав в системе. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Существует множество методов обхода UAC для пользователей, входящих в локальную группу администраторов, и настроить обнаружение всех их вариаций может быть непросто. Рекомендуется сосредоточиться на предотвращении запуска процессов и действий как до, так и после обхода UAC, а также на сборе данных об этих процессах и действиях. Некоторые методы обхода UAC полагаются на модификацию конкретных настроек реестра, доступных пользователю. При анализе рекомендуется отслеживать несанкционированные изменения настроек реестра. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте права облачных учетных записей на присваивание, создание или имперсонацию дополнительных ролей, политик и разрешений, оставив их только у тех пользователей, которым это необходимо. При использовании JIT-доступа установите требование одобрять временное повышение уровня привилегий вручную. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | При использовании MDM проследите, чтобы предоставляемые разрешения соответствовали требованиям бинарного файла. Полный доступ к диску должны иметь только те бинарные файлы, которым он необходим, в соответствии с политикой. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Удалите ненужных пользователей из группы локальных администраторов в системах. |
---|
ID | M1028 | Название | Изменение конфигурации ОС | Описание | Проследите, чтобы параметр |
---|
ID | M1038 | Название | Защита от выполнения | Описание | В системных настройках можно запретить запуск приложений, загруженных не через Apple Store, что поможет устранить некоторые из этих проблем. Запрет на запуск неподписанных приложений также может снизить риск. |
---|
ID | M1047 | Название | Аудит | Описание | Регулярно проверяйте приложения с помощью Автоматизации в разделе Системные настройки безопасности и конфиденциальности. Чтобы сбросить разрешения, пользователь может воспользоваться командой |
---|
ID | M1051 | Название | Обновление ПО | Описание | Регулярно обновляйте программное обеспечение. По возможности проследите, чтобы в системах была установлена macOS Sierra+ и включен SIP. |
---|
ID | M1052 | Название | Контроль учетных записей | Описание | Несмотря на существование техник обхода UAC, разумно использовать самый высокий уровень применения UAC, когда это возможно, и уменьшать возможности обхода, которые существуют за счет таких техник, как DLL Search Order Hijacking. |
---|