Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1548.001 - Setuid и Setgid

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1548 , T1548.001 , T1548.002 , T1548.003 , T1548.004 , T1548.005 , T1548.006

Злоумышленник может злоупотреблять конфигурациями, в которых для приложения установлены биты setuid или setgid, чтобы заставить код работать в контексте другого (и, возможно, более привилегированного) пользователя. В Linux или macOS, когда для бинарного файла приложения установлены биты setuid или setgid, приложение будет запускаться с привилегиями пользователя или группы, владеющих приложением соответственно.(Цитата: setuid man page) Обычно приложение запускается в контексте текущего пользователя, независимо от того, какой пользователь или группа владеют приложением. Однако бывают случаи, когда для нормальной работы программы должны выполняться в повышенном контексте, но пользователь, запускающий их, может не обладать необходимыми привилегиями.

Вместо того чтобы создавать запись в файле sudoers, что должен делать root, любой пользователь может указать флаг setuid или setgid, который должен быть установлен для его собственных приложений (например, Linux and Mac File and Directory Permissions Modification). Команда chmod может установить эти биты с помощью битовой маски, chmod 4777 [file] или с помощью сокращенного именования, chmod u+s [file]. Это позволит включить бит setuid. Чтобы включить бит setgid, можно использовать chmod 2775 и chmod g+s.

Злоумышленники могут использовать этот механизм в своих собственных вредоносных программах, чтобы убедиться, что в будущем они смогут выполняться в повышенных контекстах.(Цитата: OSX Keydnap malware) Такое злоупотребление часто является частью "выхода из оболочки" или других действий для обхода среды выполнения с ограниченными правами.

В качестве альтернативы злоумышленники могут найти уязвимые двоичные файлы с уже включенными битами setuid или setgid (например, File and Directory Discovery). Биты setuid и setguid обозначаются символом "s" вместо "x" при просмотре атрибутов файла с помощью ls -l. Для поиска таких файлов можно также использовать команду find. Например, find / -perm +4000 2>/dev/null может использоваться для поиска файлов с установленным setuid, а find / -perm +2000 2>/dev/null может использоваться для setgid.Двоичные файлы, в которых установлены эти биты, могут быть использованы злоумышленниками.(Цит. по: GTFOBins Suid)

https://attack.mitre.org/techniques/T1548/001

← Назад

Визуализация смежных техник для T1548.001

Отрасль:
 с подтехниками
Техника

Закрыть