TA0004 · Повышение привилегий

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

TA0004Enterprise

Матрица: Enterprise

Короткое имя: privilege-escalation

STIX: 19.0

Источник ↗

Повышение привилегий

Злоумышленник пытается получить разрешения более высокого уровня. Повышение привилегий состоит из техник, которые злоумышленники используют для получения разрешений более высокого уровня в системе или сети. Злоумышленники часто могут войти в сеть и изучить её с непривилегированным доступом, но для выполнения своих задач им требуются повышенные разрешения. Распространенные подходы заключаются в использовании слабых мест системы, неправильных конфигураций и уязвимостей. Примеры повышенного доступа включают: * уровень SYSTEM/root * локальный администратор * учетная запись пользователя с правами администратора * учетные записи пользователей с доступом к конкретным системам или выполнению конкретных функций Эти техники часто пересекаются с техниками закрепления, поскольку функции операционной системы, позволяющие злоумышленнику закрепиться, могут выполняться в привилегированном контексте.

Техники этой тактики

Перехват пути

Скрипты инициализации загрузки или входа

Скрипт входа (Windows)

Сетевой скрипт входа

RC-скрипты

Элементы автозагрузки

Запланированная задача/задание

Запланированная задача

Таймеры Systemd

Задание оркестрации контейнеров

Внедрение в процесс

Внедрение библиотеки динамической компоновки

Внедрение переносимого исполняемого файла

Перехват выполнения потока

Асинхронный вызов процедуры

Локальное хранилище потока

Системные вызовы Ptrace

Память Proc

Внедрение дополнительной памяти окна

Выкапывание процесса

Двойник процесса

Перехват VDSO

Эксплуатация для повышения привилегий

Действительные учетные записи

Учетные записи по умолчанию

Доменные учетные записи

Локальные учетные записи

Облачные учетные записи

Манипулирование учетными записями

Дополнительные облачные учетные данные

Дополнительные разрешения делегирования электронной почты

Дополнительные облачные роли

Авторизованные ключи SSH

Регистрация устройства

Дополнительные роли кластера контейнеров

Дополнительные локальные или доменные группы

Манипулирование токеном доступа

Подмена/кража токена

Создание процесса с токеном

Создание и подмена токена

Подмена родительского PID

Внедрение SID-History

Изменение политики домена или арендатора

Изменение групповой политики

Изменение доверительных отношений

Создание или изменение системного процесса

Агент запуска

Служба Systemd

Служба Windows

Демон запуска

Контейнерная служба

Выполнение по событию

Изменение ассоциации файлов по умолчанию

Заставка

Подписка на события Windows Management Instrumentation

Изменение конфигурации оболочки Unix

Добавление LC_LOAD_DYLIB

Вспомогательная DLL Netsh

Специальные возможности

Подкладки приложений

Внедрение параметров выполнения файла образа

Профиль PowerShell

Перехват объектной модели компонентов

Пакеты установщика

Правила Udev

Перехватчики запуска Python

Автозапуск при загрузке или входе в систему

Ключи реестра Run / папка автозагрузки

Пакет аутентификации

Провайдеры времени

Вспомогательная DLL Winlogon

Провайдер поддержки безопасности

Модули и расширения ядра

Повторно открытые приложения

Драйвер LSASS

Изменение ярлыка

Мониторы портов

Процессоры печати

Записи автозапуска XDG

Элементы входа

Злоупотребление механизмом контроля повышения привилегий

Setuid и Setgid

Обход контроля учетных записей пользователей

Sudo и кэширование Sudo

Повышенное выполнение с запросом

Временный повышенный доступ к облаку

Манипулирование TCC

Выход на хост

Открыть на attack.mitre.org ↗