跳转至

T1222-002-linux-文件权限修改

来自ATT&CK的描述

文件权限通常有文件的所有者指定的自主访问控制列表(DACL)管理。文件DACL实现可能因不同系统而异,但通常明确指定那些用户/组可以执行那些操作(例如:读取、写入、执行等)。

攻击者可以修改文件权限/属性来逃避预定的DACL策略,修改可能包括更改特定的访问权限,这可能需要获取文件的所有权或提升权限,例如:administer/root,具体取决于文件的现有权限。特定文件修改可能是许多技术的必需步骤,例如通过辅助功能,登陆脚本建立持久性,或者污染/劫持其他工具的配置文件等。

测试案例

chmod 766 abc.txt

chmod u+x abc.txt #abc.txt文件属主权限,具有执行权限

chmod o-x abc.txt #取消其他用户对abc.txt的执行权限

chown runoob:runoobgroup abc.txt 将文件 abc.txt 的拥有者设为 runoob,群体的使用者 runoobgroup

检测日志

linux audit日志 (值得注意的是:Ubuntu默认情况下没有audit,需要下载安装并配置相关策略)

bash历史记录

测试复现

icbc@icbc:~$ sudo chmod 766 abc.txt ...... icbc@icbc:~$ sudo chmod u+x abc.txt

测试留痕

基于audit日志

暂无

基于历史记录

icbc@icbc:~$ histroy

646 sudo chmod 766 abc.txt

647 sudo chmod u+x abc.txt

检测规则/思路

splunk规则

基于audit日志

index=linux sourcetype=linux_audit syscall=90 OR syscall=91 OR sycall=268 | table msg,syscall,syscall_name,success,auid,comm,exe

基于bash历史记录

index=linux sourcetype="bash_history" bash_command="chmod " OR bash_command="chown" | table host,user_name,bash_command

建议

值的注意的是:你需要创建一个白名单进行数据降噪,否则你可能会在无休止的去误报的路上越走越远。

参考推荐

MITRE-ATT&CK-T1222-002

https://attack.mitre.org/techniques/T1222/002/

Audit配置手册

https://www.cnblogs.com/bldly1989/p/7204358.html

DACL自主访问控制列表

https://baike.baidu.com/item/DACL/10681774?fr=aladdin

linux下chmod命令用法

https://blog.csdn.net/shinehoo/article/details/5821354

linux下chown命令用法

https://www.runoob.com/linux/linux-comm-chown.html