ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1222

术语表: /attack/glossary

文件权限修改

文件权限通常由文件所有者指定的自由访问控制列表 (DACL) 管理。 文件 DACL 实现可能因平台而异,但通常明确指定哪些用户/组可以执行哪些操作(例如:读、写、执行等)。

攻击者可能会修改文件权限/属性以绕过预期的 DACL。 修改可能包括更改特定的访问权限,这可能需要获得文件的所有权和/或更高的权限,如管理员/root 权限,这取决于文件的现有权限,以允许恶意活动,如修改、替换或删除特定文件。 修改特定的文件可能是许多技术的必需步骤,例如通过辅助功能获得持久性特性 (Persistence via Accessibility Features)、登录脚本或 (Logon Scripts), 污染/劫持其他工具二进制/配置文件。

缓解

这种类型技术不能简单通过预防性控制缓解,因为它基于对操作系统设计特性的滥用。 应该集中精力防止攻击者工具在活动链中更早地运行以及识别后续恶意行为。

检测

监视和调查修改 DACLs 和文件所有权的尝试,例如在 Windows 中使用 icacls、takeown、attrib 和 PowerShell Set-Acl,在 macOS/Linux 中使用 chmod /chown。 这些工具有许多是内置的系统实用程序,可能会生成很多假正(false positive)的告警,因此需要与关于通常如何使用系统的基本知识比较,并在可能的情况下将修改事件与恶意活动的其他迹象关联。 考虑对包含关键二进制/配置文件的文件夹启用文件权限更改审计。