Карточка риска

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Угроза

Закрепление злоумышленника в ОС

из-за уязвимости

Возможность использовать переменную окружения LD_PRELOAD

в Активе

ОС Linux

Описание угрозы

После получения доступа к операционной системе злоумышленник может закрепиться в ней и продолжить получать доступ к системе вне зависимости от прерываний доступа.

Описание уязвимости

Злоумышленники могут изменить LD_PRELOAD, чтобы указать на вредоносные библиотеки, соответствующие именам легальных библиотек, которые запрашиваются программой-жертвой, в результате чего операционная система загружает вредоносный код при выполнении программы-жертвы.

LD_PRELOAD можно установить с помощью переменной окружения или файла:
/etc/ld.so.preload

Захват LD_PRELOAD может предоставить доступ к памяти процесса-жертвы, системным/сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение через LD_PRELOAD ВПО также может избежать обнаружения со стороны средств защиты, поскольку выполнение маскируется под легальный процесс.

Описание типа актива

Семейство Unix-подобных операционных систем на базе ядра Linux, включающих тот или иной набор утилит и программ проекта GNU, и, возможно, другие компоненты.

Объекты атаки Операционная система

Классификация

STRIDE: Повышение привилегий

Иное: НСД

Источники угрозы

Внутренний нарушитель - Низкий потенциал

Каталоги угроз

Техники ATT@CK:

T1574.006 Hijack Execution Flow: Dynamic Linker Hijacking

Adversaries may execute their own malicious payloads by hijacking environment variables the dynamic linker uses to load shared l...

Связанные защитные меры

	Название	Дата	Влияние
Community 18 7 / 33	Настройка безопасной конфигурации для серверов ОС Linux Разово Вручную Техническая Превентивная 16.05.2022	16.05.2022	18 7 / 33
Цель: сокращение поверхности атаки. Часть общего процесса управления безопасностью конфигураций (Hardening). Общий алгоритм: Определить, задокументировать требования к безопасности конфигурации. Применить безопасную конфигурацию на существующих хостах. Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию. Регулярно проверять конфигурацию хостов на соответствие установленным требованиям. Источником для формирования требований к безопасности конфигурации служат: Руководства по настройке безопасности от производителя (например, Red Hat Enterprise Linux Security guide); Руководства по настройке безопасности (например, CIS CentOS Linux Benchmarks, CIS Debian Linux Benchmarks, CIS Red Hat Enterprise Linux Benchmarks, CIS Ubuntu Linux Benchmarks, SCAP Security Guide Project, FIPS for Ubuntu); Рекомендации регулирующих органов и отрасли; Собственные наработки и решения. Документирование требований осуществляется в зависимости от принятых подходов в организации. Вариант реализации: описать требования в карточке защитной меры. Пример документа Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами. Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере. Минимальные требования к безопасной конфигурации: Изменить пароли по умолчанию. Настроить SSH Настроить сложность паролей Настроить смену (жизненный цикл) паролей Настроить политику аутентификации Отключить или удалить ненужные учетные записи пользователей Отключить или ограничить ненужные службы, порты и протоколы Удалить ненужное программное обеспечение При необходимости ограничить физические порты Настроить баннеры при входе В зависимости от выстроенной в компании инфраструктуры к требованиям безопасности конфигурации могут быть отнесены: Подключение хоста к корпоративной системе мониторинга Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM) Конфигурация NTP и часового пояса Настройка может осуществляться вручную, скриптами или с использованием централизованных систем управления конфигурацией (например, Ansible). Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций. Показателем эффективности процесса может являться: - общий процент соответствия требованиям (суммарно по всем хостам), - процент хостов, соответствующих требованиям. *Рекомендации к заполнению карточки:* Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой. Описать принятый в компании перечень требований к безопасности конфигурации. Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент Добавить шаблон регулярной задачи по проверке конфигураций. Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности