T1548: ЗЛОВЖИВАННЯ МЕХАНІЗМАМИ КОНТРОЛЮ ПІДВИЩЕННЯ ПРАВ
Зловмисники обходять вбудовані системи безпеки, призначені для обмеження прав користувачів. Більшість ОС вимагають спеціального підтвердження (як-от UAC у Windows або sudo у Linux) для виконання небезпечних дій. Хакери використовують помилки в конфігурації, вразливості або специфічні системні функції, щоб отримати права адміністратора чи root без відома користувача та без введення пароля.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть обходити механізми, призначені для контролю підвищення привілеїв, щоб отримати дозволи вищого рівня. Більшість сучасних систем містять вбудовані механізми контролю підвищення прав, які мають на меті обмежити дії, які користувач може виконувати на машині. Авторизація має бути надана конкретним користувачам для виконання завдань, що вважаються пов’язаними з високим ризиком. Зловмисник може застосувати кілька методів, щоб скористатися вбудованими механізмами контролю з метою підвищення привілеїв у системі.
Ключові методи зловживання:
- Bypass UAC (T1548.002): У Windows деякі програми мають цифровий підпис Microsoft і налаштовані на «автоматичне підвищення» (auto-elevate). Зловмисник може змусити таку програму завантажити шкідливу DLL, і код виконається з правами адміністратора без появи синього вікна запиту UAC.
- Sudo Caching (T1548.003): Коли користувач вводить пароль для sudo, система «запам’ятовує» його на кілька хвилин. Якщо зловмисник уже має доступ до термінала в цей момент, він може виконати будь-яку команду з правами root без повторного введення пароля.
- Setuid/Setgid (T1548.001): У Linux існують файли з особливим бітом дозволу, які завжди запускаються від імені власника (наприклад, root). Якщо зловмисник знайде такий файл із помилкою в коді, він може використати його як «трамплін» для отримання повного контролю над системою.
Чому це критично небезпечно?
- Повний контроль: Підвищення прав до рівня SYSTEM або root дозволяє зловмиснику читати будь-які файли, видаляти логи та встановлювати приховані бекдори (Rootkits).
- Невидимість: Багато методів обходу UAC не залишають явних слідів у журналах подій за замовчуванням.
- Автоматизація: Просунуте шкідливе ПЗ автоматично перевіряє систему на наявність методів підвищення прав одразу після проникнення.
Як захиститися?
- Рівень UAC: Встановіть повзунок UAC у положення «Always Notify» (Завжди сповіщати) — це блокує більшість методів автоматичного обходу.
- Принцип мінімальних привілеїв: Не працюйте під обліковим записом адміністратора для повсякденних завдань.
- Аудит Sudo: У Linux перевіряйте файл /etc/sudoers на наявність записів NOPASSWD.
- Моніторинг процесів: Відстежуйте запуск процесів з підвищеними правами, батьківським процесом яких є звичайний додаток (наприклад, cmd.exe запущений від імені SYSTEM через fodhelper.exe).