Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1222 , T1222.001 , T1222.002
Злоумышленники могут изменять разрешения/атрибуты файлов или каталогов, чтобы обойти списки контроля доступа (ACL) и получить доступ к защищенным файлам.(Цитата: Hybrid Analysis Icacls1 June 2018)(Цитата: Hybrid Analysis Icacls2 May 2018) Разрешениями файлов и каталогов обычно управляют ACL, настроенные владельцем файла или каталога, или пользователями с соответствующими правами. Реализации ACL файлов и каталогов зависят от платформы, но обычно явно указывают, какие пользователи или группы могут выполнять те или иные действия (чтение, запись, выполнение и т. д.).
Большинство платформ на базе Linux и Linux предоставляют стандартный набор групп разрешений (пользователь, группа и другие) и стандартный набор разрешений (чтение, запись и выполнение), которые применяются к каждой группе. Хотя нюансы реализации разрешений в каждой платформе могут отличаться, большинство платформ предоставляют две основные команды, используемые для манипулирования ACL файлов и каталогов: chown (сокращение от change owner) и chmod (сокращение от change mode).
Злоумышленники могут использовать эти команды, чтобы сделать себя владельцем файлов и каталогов или изменить режим, если текущие разрешения позволяют это сделать. Впоследствии они могут заблокировать доступ к файлу для других.Специфические модификации файлов и каталогов могут быть необходимым шагом для многих техник, таких как установление постоянства с помощью Unix Shell Configuration Modification или порча/взлом других инструментальных бинарных файлов/конфигураций с помощью Hijack Execution Flow.(Цитата: 20 общих инструментов и техник macOS)
https://attack.mitre.org/techniques/T1222/002
Визуализация смежных техник для T1222.002
| № | Техника |
|---|
