T1548.004: Запрос пароля суперпользователя для повышения привилегий
Злоумышленники могут запрашивать у пользователя учетные данные через вызов API AuthorizationExecuteWithPrivileges
для повышения уровня привилегий. Назначение этой функции API — предоставить разработчикам приложений простой способ выполнения операций с правами root, таких как установка или обновление. Эта функция не проверяет, поступила ли программа, запрашивающая root-права, из надежного источника и содержит ли она вредоносный код.
Хотя использовать эту функцию не рекомендуется, она все еще полностью функционирует в последних версиях macOS. При вызове этой функции пользователю нужно ввести свои учетные данные, но источник и целостность программы не проверяются. Программа, вызывающая эту функцию API, может загружать файлы с неограниченным доступом на запись. Злоумышленники могут изменить их, чтобы они выполняли вредоносные действия с повышенным уровнем привилегий.
Злоумышленники могут использовать AuthorizationExecuteWithPrivileges
, чтобы получить root-права, которые позволят установить вредоносное ПО на компьютеры жертв и внедрить механизмы закрепления. Эта техника может использоваться совместно с маскировкой, чтобы обманом заставить пользователя повысить уровень привилегий вредоносного ПО. Она также позволяет менять параметры установленных на устройстве легитимных программ, которые используют эту функцию API.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | По возможности отслеживайте запуск процесса |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживание выполнения обратных вызовов API ОС также может помочь в обнаружении такого поведения, но для этого нужны специализированные средства безопасности. |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | В системных настройках можно запретить запуск приложений, загруженных не через Apple Store, и таким образом предотвратить некоторые из этих проблем. Запрет на запуск неподписанных приложений также может снизить риск. |
---|