Setuid و Setgid
Setuid and Setgidتوضیحات
مهاجمان از بیتهای setuid و setgid در سیستمهای لینوکس و macOS برای ارتقاء سطح دسترسی سوءاستفاده میکنند. فایلهای اجرایی با بیت setuid با سطح دسترسی مالک فایل اجرا میشوند. مهاجمان میتوانند این بیتها را روی فایلهای مخرب تنظیم کنند یا از فایلهای موجود با این بیتها سوءاستفاده کنند.
روشهای شناسایی
جستجو برای فایلهای با بیت setuid/setgid. نظارت بر تغییرات مجوزهای فایل. شناسایی فایلهای جدید با setuid. تحلیل فایلهای اجرایی با سطح دسترسی بالا.
روشهای مقابله
بررسی منظم فایلهای با setuid/setgid. محدود کردن استفاده از setuid. استفاده از nosetuid در mount options. پیادهسازی SELinux یا AppArmor. حذف setuid از فایلهای غیرضروری.
تکنیک اصلی
سوءاستفاده از مکانیزم کنترل ارتقاء
مهاجمان از مکانیزمهای طراحی شده برای کنترل سطوح دسترسی بالاتر سوءاستفاده میکنند. این مکانیزمها مانند UAC در ویندوز، sudo در لینوکس و macOS برای جلوگیری از اجرای غیرمجاز کد با سطح دسترسی بالا طراحی شدهاند. مهاجمان میتوانند این مکانیزمها را دور بزنند تا بدون اطلاع کاربر به سطح دسترسی بالاتر برسند.