Security-Experts-Community / open-xp-rules

Открытый репозиторий с правилами на языке eXtraction and Processing (XP)
Apache License 2.0
20 stars 44 forks source link

[OSW#2: Task-16] Детект запуска процесса с повышенными привилегиями #400

Closed AmwNLTL closed 4 months ago

AmwNLTL commented 4 months ago

Существует устаревшее AuthorizationExecuteWithPrivileges API, которое упрощает процедуру установки приложений. Алгоритм работы (описан подробнее тут):

  1. Обращение к API -> xpcproxy контекст -> authd
  2. Проверка внутри и запуск агента безопасности
  3. Агент безопасности показывает форму для авторизации
  4. security_authtrampoline -> xpcproxy контекст -> authd
  5. Запускается таргет процесс от суперпользователя

image

Соответственно, в правиле детектится выполнение security_authtrampoline утилиты - шаг 4 и запуск процесса с euid=0 - шаг 5. security_authtrampoline - системная утилита, которая имеет suid, при корректном вводе данных создает xpcproxy сообщение для authd.

Возможно, AuthorizationExecuteWithPrivileges используется какими-то системными утилитами, но сторонние утилиты (is_platform_binary = false в логе) однозначно считаем как минимум подозрительными.

Resolves #381