Descripción de la Tecnica
T1548.003 es una técnica de ciberseguridad relacionada con el uso de sudo (Superuser Do) en sistemas Linux y macOS para ejecutar comandos con privilegios elevados. Los atacantes pueden aprovechar la funcionalidad de sudo para delegar autoridades a usuarios o procesos, permitiéndoles realizar acciones que normalmente solo están permitidas al administrador del sistema.
Esta técnica está documentada en el MITRE ATT&CK como un patrón de ataque (attack-pattern) bajo la categoría de "Elevate Privilege". Los adversarios pueden usar la sudoers file para crear permisos no autorizados o explotar comportamientos de caching en el sistema.
Como Funciona
El uso de sudo permite a los usuarios ejecutar comandos con privilegios del superusuario. Sin embargo, cuando se configura incorrectamente la sudoers, un atacante puede aprovecharlo para:
- Elevar privilegios: Ejecutar comandos como root o con permisos más altos que su cuenta normal.
- Caching de sudo: Algunas implementaciones de sudo guardan la sesión de usuario actual en memoria, lo que puede permitir a un atacante usar esa información para acceder a privilegios no autorizados.
Los adversarios pueden aprovechar estos mecanismos para: - Cambiar el contexto de ejecución de procesos. - Inyectar código malicioso en comandos que se ejecutan con privilegios elevados.
Actores que la Utilizan
Esta técnica es utilizada por actores con objetivos de:
- Comprometer sistemas mediante el uso de privilegios no autorizados.
- Elevar nivel de acceso para realizar operaciones críticas (como modificar archivos de configuración o instalar software malicioso).
- Detección evasiva, ya que el uso de sudo puede ser un indicador de actividad sospechosa.
Detección
La detección de T1548.003 requiere monitorear:
- Uso anómalo de sudo en sistemas con múltiples usuarios o grupos.
- Cambios inusuales en el archivo /etc/sudoers o archivos relacionados (como /etc/sudoers.d/).
- Sesiones de sudo no autorizadas que se ejecutan con frecuencia o bajo usuarios no esperados.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a T1548.003, se recomienda:
- Revisar regularmente los permisos del archivo /etc/sudoers y asegurar que solo usuarios con autoridad administrativa puedan modificarlo.
- Limitar el uso de sudo a comandos específicos y evitar la ejecución de scripts no verificados.
- Monitorear logs de sistema para detectar patrones inusuales de uso de sudo.