T1222
تغییر مجوزهای فایل و دایرکتوری
File and Directory Permissions Modificationتوضیحات
مهاجمان مجوزهای فایلها و دایرکتوریها را تغییر میدهند تا دسترسی به فایلهای حساس را مسدود کنند یا به فایلهای محافظت شده دسترسی پیدا کنند. این تکنیک میتواند برای جلوگیری از حذف بدافزار یا دسترسی به فایلهای قفل شده استفاده شود.
روشهای شناسایی
نظارت بر تغییرات مجوز فایل. شناسایی استفاده از icacls، chmod و chown. بررسی تغییرات ACL مشکوک. تحلیل رفتار فرآیندها.
روشهای مقابله
نظارت بر تغییرات مجوز فایل. محدود کردن دسترسی به تغییر مجوز. پیادهسازی حداقل سطح دسترسی. استفاده از File Integrity Monitoring. بررسی منظم مجوزها.