Descripción de la Tecnica
T1222.002 es una técnica de la MITRE ATT&CK que describe cómo los atacantes pueden modificar permisos o atributos de archivos y directorios en sistemas Linux y macOS para evadir controlles basados en listas de acceso (ACLs) y acceder a archivos protegidos. Este método se centra en alterar los permisos de archivos/directorios para aprovechar vulnerabilidades en la gestión de accesos, especialmente cuando las ACLs no están configuradas correctamente.
¿Cómo Funciona?
Los atacantes modifican explícitamente los permisos de archivos o directorios para que no se cumplan las reglas definidas por ACLs. Por ejemplo, pueden reducir el nivel de acceso permitido (como cambiar desde "rwx" a "rx") o alterar grupos de usuario asociados a un archivo. Esto permite a los adversarios acceder a recursos protegidos sin cumplir con los controles de seguridad establecidos por el sistema operativo.
Nota: En sistemas Linux, las ACLs se gestionan mediante comandos como setfacl, mientras que en macOS pueden ser modificadas con herramientas como chmod o chown.
Actores que la Utilizan
Esta técnica es utilizada por diversos actores maliciosos, incluyendo grupos de ciberdelincuencia y amenazas state-sponsored. Los atacantes suelen aprovechar diferencias en cómo se implementan las ACLs entre sistemas operativos para lograr acceso no autorizado a recursos críticos.
Detección
La detección de esta técnica implica monitorear cambios anómalos en permisos de archivos/directorios, especialmente aquellos que afectan a recursos protegidos. Herramientas de seguridad pueden analizar patrones de modificación de ACLs y alertar sobre alteraciones no autorizadas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar este riesgo, se recomienda: 1. Configurar ACLs correctamente y realizar auditorías periódicas de permisos críticos. 2. Limitar el acceso a archivos protegidos mediante grupos específicos. 3. Utilizar herramientas de monitoreo que detecten cambios no autorizados en permisos o atributos de archivos. 4. Actualizar regularmente los sistemas operativos y aplicaciones para corregir vulnerabilidades relacionadas con la gestión de ACLs.