T1222-002-linux-文件权限修改
来自ATT&CK的描述
文件权限通常有文件的所有者指定的自主访问控制列表(DACL)管理。文件DACL实现可能因不同系统而异,但通常明确指定那些用户/组可以执行那些操作(例如:读取、写入、执行等)。
攻击者可以修改文件权限/属性来逃避预定的DACL策略,修改可能包括更改特定的访问权限,这可能需要获取文件的所有权或提升权限,例如:administer/root,具体取决于文件的现有权限。特定文件修改可能是许多技术的必需步骤,例如通过辅助功能,登陆脚本建立持久性,或者污染/劫持其他工具的配置文件等。
测试案例
chmod 766 abc.txt
chmod u+x abc.txt #abc.txt文件属主权限,具有执行权限
chmod o-x abc.txt #取消其他用户对abc.txt的执行权限
chown runoob:runoobgroup abc.txt 将文件 abc.txt 的拥有者设为 runoob,群体的使用者 runoobgroup
检测日志
linux audit日志 (值得注意的是:Ubuntu默认情况下没有audit,需要下载安装并配置相关策略)
bash历史记录
测试复现
icbc@icbc:~$ sudo chmod 766 abc.txt ...... icbc@icbc:~$ sudo chmod u+x abc.txt
测试留痕
基于audit日志
暂无
基于历史记录
icbc@icbc:~$ histroy
646 sudo chmod 766 abc.txt
647 sudo chmod u+x abc.txt
检测规则/思路
splunk规则
基于audit日志
index=linux sourcetype=linux_audit syscall=90 OR syscall=91 OR sycall=268 | table msg,syscall,syscall_name,success,auid,comm,exe
基于bash历史记录
index=linux sourcetype="bash_history" bash_command="chmod " OR bash_command="chown" | table host,user_name,bash_command
建议
值的注意的是:你需要创建一个白名单进行数据降噪,否则你可能会在无休止的去误报的路上越走越远。
参考推荐
MITRE-ATT&CK-T1222-002
https://attack.mitre.org/techniques/T1222/002/
Audit配置手册
https://www.cnblogs.com/bldly1989/p/7204358.html
DACL自主访问控制列表
https://baike.baidu.com/item/DACL/10681774?fr=aladdin
linux下chmod命令用法
https://blog.csdn.net/shinehoo/article/details/5821354
linux下chown命令用法