Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1548 , T1548.001 , T1548.002 , T1548.003 , T1548.004 , T1548.005 , T1548.006
Злоумышленники могут выполнять кэширование sudo и/или использовать файл sudoers для повышения привилегий. Злоумышленники могут выполнять команды от имени других пользователей или порождать процессы с более высокими привилегиями.
В системах Linux и MacOS sudo (иногда называемый "суперпользователь do") позволяет пользователям выполнять команды с терминалов с повышенными привилегиями и контролировать, кто может выполнять эти команды в системе. Команда sudo "позволяет системному администратору делегировать полномочия, чтобы дать определенным пользователям (или группам пользователей) возможность выполнять некоторые (или все) команды от имени root или другого пользователя, обеспечивая при этом аудиторский след команд и их аргументов."Поскольку sudo был создан для системного администратора, он обладает некоторыми полезными функциями настройки, такими как timestamp_timeout, который представляет собой количество времени в минутах между попытками sudo, прежде чем он будет повторно запрашивать пароль. Это происходит потому, что sudo имеет возможность кэшировать учетные данные в течение определенного периода времени. Sudo создает (или трогает) файл по адресу /var/db/sudo с меткой времени, когда sudo был запущен в последний раз, чтобы определить этот таймаут. Кроме того, существует переменная tty_tickets, которая рассматривает каждую новую tty (терминальную сессию) изолированно. Это означает, что, например, таймаут sudo на одном tty не повлияет на другой tty (вам придется снова набирать пароль).
Файл sudoers, /etc/sudoers, описывает, какие пользователи могут выполнять какие команды и с каких терминалов. Здесь также описано, какие команды пользователи могут выполнять от имени других пользователей или групп. Это обеспечивает принцип наименьших привилегий, когда пользователи большую часть времени работают с минимально возможными правами и повышают права до других пользователей или разрешений только по мере необходимости, обычно запрашивая пароль. Однако в файле sudoers можно указать, когда не запрашивать пароль у пользователей, например, строкой user1 ALL=(ALL) NOPASSWD: ALL.(Цитата: OSX.Dok Malware) Для редактирования этого файла требуются повышенные привилегии.
Злоумышленники также могут злоупотреблять плохими конфигурациями этих механизмов для повышения привилегий, не требуя пароля пользователя. Например, временная метка файла /var/db/sudo может быть отслежена на предмет того, попадает ли она в диапазон timestamp_timeout. Если да, то вредоносное ПО может выполнять команды sudo без необходимости вводить пароль пользователя. Кроме того, если tty_tickets отключен, злоумышленники могут сделать это с любого tty данного пользователя.
В дикой природе вредоносное ПО отключало tty_tickets, чтобы потенциально облегчить скриптинг, выдавая echo \'Defaults !tty_tickets\' >> /etc/sudoers.(Цитата: cybereason osx proton) Для того чтобы это изменение отразилось, вредоносное ПО также выдавало killall Terminal.с macOS Sierra, в файле sudoers по умолчанию включен tty_tickets.
https://attack.mitre.org/techniques/T1548/003
Визуализация смежных техник для T1548.003
| № | Техника |
|---|
