T1548.004: Запрос пароля суперпользователя для повышения привилегий

Злоумышленники могут запрашивать у пользователя учетные данные через вызов API AuthorizationExecuteWithPrivileges для повышения уровня привилегий. Назначение этой функции API — предоставить разработчикам приложений простой способ выполнения операций с правами root, таких как установка или обновление. Эта функция не проверяет, поступила ли программа, запрашивающая root-права, из надежного источника и содержит ли она вредоносный код.

Хотя использовать эту функцию не рекомендуется, она все еще полностью функционирует в последних версиях macOS. При вызове этой функции пользователю нужно ввести свои учетные данные, но источник и целостность программы не проверяются. Программа, вызывающая эту функцию API, может загружать файлы с неограниченным доступом на запись. Злоумышленники могут изменить их, чтобы они выполняли вредоносные действия с повышенным уровнем привилегий.

Злоумышленники могут использовать AuthorizationExecuteWithPrivileges, чтобы получить root-права, которые позволят установить вредоносное ПО на компьютеры жертв и внедрить механизмы закрепления. Эта техника может использоваться совместно с маскировкой, чтобы обманом заставить пользователя повысить уровень привилегий вредоносного ПО. Она также позволяет менять параметры установленных на устройстве легитимных программ, которые используют эту функцию API.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

По возможности отслеживайте запуск процесса /usr/libexec/security_authtrampoline, который может указывать на выполнение функции AuthorizationExecuteWithPrivileges. В macOS вызов AuthorizationExecuteWithPrivileges также может записываться в системных журналах.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживание выполнения обратных вызовов API ОС также может помочь в обнаружении такого поведения, но для этого нужны специализированные средства безопасности.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

В системных настройках можно запретить запуск приложений, загруженных не через Apple Store, и таким образом предотвратить некоторые из этих проблем. Запрет на запуск неподписанных приложений также может снизить риск.