E

vent Triggered Execution (T1546.005) to technika w ramach MITRE ATT&CK, która opisuje, w jaki sposób atakujący mogą ustanowić mechanizm persystencji w systemie poprzez wykonywanie złośliwego kodu lub poleceń za pomocą przechwyconych przerwań programowych służących do komunikacji między procesami nazywanych w systemach *nix – sygnałami. Przykładem tutaj może być program trap, który pozwala programom i powłokom określać polecenia, które zostaną wykonane po otrzymaniu sygnałów przerwania. Jego typowym zastosowaniem jest tworzenie solidnych i odpornych na różne niestabilności skryptów powłoki zapewniając ich poprawne zakończenie poprzez wykonywanie awaryjnych sekwencji poleceń lub funkcji. Najprostszym przykładem może być tutaj obsługa przerwań wygenerowanych przez klawisze klawiatury, takich jak ctrl+c i ctrl+d. Niestety atakujący może również użyć tego polecenia do wykonywania swojego kodu, gdy powłoka użytkownika / administratora napotka określone przerwania. W ten sposób może wpisać się w taktykę eskalacji uprawnień (uzyskania przywilejów wyższego poziomu) lub trwałego dostępu do systemu (utrzymania swojej obecności podczas restartów i zmiany poświadczeń skompromitowanego konta).
[ czytaj całość… ]

W

yobraźmy sobie taki scenariusz – jesteś członkiem zespołu Red Team, który ma kompetencje w zakresie systemu Linux. Twoim zadaniem jest opracowanie ćwiczenia, w którym musisz zachować dostęp do skompromitowanego systemu przez jak najdłuższy czas. Posiadając uprawnienia administratora myślisz o dodaniu jakiegoś zadania w cron lub innej klasycznej lokalizacji (np. rc.local), ale wiesz że Blue Team je systematycznie sprawdza. Przez chwilę myślisz o doczepieniu tylnej furki jakieś binarce, tylko problem w tym, że dostęp ma być utrzymany jak najdłużej, a skompromitowana maszyna jest ustawiona na regularną aktualizację łatek bezpieczeństwa, więc wszelkie pliki wykonawcze lub inne krytyczne komponenty systemu mogą zostać nadpisane wersjami domyślnymi.
[ czytaj całość… ]