ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1169

术语表: /attack/glossary

Sudo

/etc/sudoers 文件描述了哪些用户可以运行哪些命令以及从哪些终端运行这些命令。它还描述了哪些命令用户可以作为其他用户或组运行。这提供了最小权限的概念,即用户在大多数时间内以尽可能低的权限运行,只在需要时提升到其他用户或权限,通常通过提示输入密码进行提权。然而,sudoers 文件还可以通过 user1 ALL=(ALL) NOPASSWD: ALL 来指定何时不提示用户输入密码:

攻击者可以利用这些配置以其他用户身份执行命令或者生成具有更高权限的进程。但是必须具有高权限才能编辑该文件。

缓解

应该严格限制 sudoers 文件的编辑,始终需要密码并且用户不能以具有更高权限的用户生成有风险的进程。 通过要求密码,即使攻击者可以获得终端访问权限,他们也必须知道密码才能在 sudoers 文件中运行任何东西。

检测

在 Linux 上,auditd 可以在每次用户的实际 ID 和有效 ID 不同时发出告警(这是在 sudo 时发生的情况)。