Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1222 , T1222.001 , T1222.002
Злоумышленники могут изменять разрешения/атрибуты файлов и каталогов, чтобы обойти списки контроля доступа (ACL) и получить доступ к защищенным файлам.(Цитата: Hybrid Analysis Icacls1 June 2018)(Цитата: Hybrid Analysis Icacls2 May 2018) Разрешения файлов и каталогов обычно управляются ACL, настроенными владельцем файла или каталога, или пользователями с соответствующими правами. Реализации ACL файлов и каталогов зависят от платформы, но обычно явно указывают, какие пользователи или группы могут выполнять те или иные действия (чтение, запись, выполнение и т. д.).
В Windows ACL файлов и каталогов реализуются как дискреционные списки контроля доступа (DACL).(Цит. по: Microsoft DACL May 2018) Подобно стандартным ACL, DACL определяют учетные записи, которым разрешен или запрещен доступ к защищаемому объекту. При попытке доступа к защищенному объекту система проверяет записи управления доступом в DACL по порядку. Если найдена соответствующая запись, доступ к объекту предоставляется.В противном случае доступ запрещается.(Цитата: Microsoft Access Control Lists May 2018)
Злоумышленники могут взаимодействовать с DACL с помощью встроенных команд Windows, таких как `icacls`, `cacls`, `takeown` и `attrib`, которые могут предоставлять злоумышленникам более высокие разрешения на определенные файлы и папки. Кроме того, PowerShell предоставляет команды, которые можно использовать для получения или изменения DACL файлов и каталогов. Модификация конкретных файлов и каталогов может быть необходимым шагом для многих техник, таких как создание постоянства с помощью Accessibility Features, Boot or Logon Initialization Scripts или порча/взлом других инструментальных двоичных файлов/конфигураций с помощью Hijack Execution Flow.
https://attack.mitre.org/techniques/T1222/001
Визуализация смежных техник для T1222.001
| № | Техника |
|---|
