Изменение прав доступа к файлам и каталогам

Злоумышленники могут изменять разрешения/атрибуты файлов или каталогов для уклонения от списков контроля доступа (ACL) и доступа к защищенным файлам. Разрешения файлов и каталогов обычно управляются ACL, настроенными владельцем файла или каталога или пользователями с соответствующими разрешениями. Реализации ACL для файлов и каталогов различаются в зависимости от платформы, но обычно явно указывают, какие пользователи или группы могут выполнять какие действия (чтение, запись, выполнение и т.д.). Изменения могут включать изменение конкретных прав доступа, что может потребовать получения владения файлом или каталогом и/или повышенных разрешений в зависимости от существующих разрешений файла или каталога. Это может обеспечить вредоносную активность, такую как изменение, замена или удаление определенных файлов или каталогов. Конкретные изменения файлов и каталогов могут быть необходимым шагом для многих техник, таких как установление закрепления через Специальные возможности, Скрипты инициализации загрузки или входа, Изменение конфигурации Unix Shell или заражение/перехват других важных двоичных/конфигурационных файлов через Перехват потока выполнения. Злоумышленники также могут изменять разрешения символических ссылок. Например, вредоносное ПО (особенно программы-вымогатели) может изменять символические ссылки и связанные настройки для обеспечения доступа к файлам из локальных ярлыков с удаленными путями.