An adversary positions a symbolic link in such a manner that the targeted user or application accesses the link's endpoint, assuming that it is accessing a file with the link's name.
Description
Attack Execution Flow
3
1
Step 1
Explore[Identify Target] Adversary identifies the target application by determining whether there is sufficient check before writing data to a file and creating symlinks to files in different directories.
The adversary writes to files in different directories to check whether the application has sufficient checking before file operations.
The adversary creates symlinks to files in different directories.
AI Translation
[Identifica Obiettivo] L'attore malevolo identifica l'applicazione target determinando se esiste un controllo sufficiente prima di scrivere dati su un file e creando symlink verso file in directory diverse.
L'attore malevolo scrive su file in directory differenti per verificare se l'applicazione effettua controlli sufficienti prima delle operazioni sui file.
L'attore malevolo crea symlink verso file in directory differenti.
Attack Techniques
-
The adversary writes to files in different directories to check whether the application has sufficient checking before file operations.
-
The adversary creates symlinks to files in different directories.IT: L'avversario scrive in file situati in directory differenti per verificare se l'applicazione effettua controlli sufficienti prima delle operazioni sui file.
2
Step 2
Experiment[Try to create symlinks to different files] The adversary then uses a variety of techniques, such as monitoring or guessing to create symlinks to the files accessed by the target application in the directories which are identified in the explore phase.
The adversary monitors the file operations performed by the target application using a tool like dtrace or FileMon. And the adversary can delay the operations by using 'sleep(2)' and 'usleep()' to prepare the appropriate conditions for the attack, or make the application perform expansive tasks (large files parsing, etc.) depending on the purpose of the application.
The adversary may need a little guesswork on the filenames on which the target application would operate.
The adversary tries to create symlinks to the various filenames.
AI Translation
[Provare a creare symlink a file diversi] L'attore malevolo utilizza quindi una varietà di tecniche, come il monitoraggio o la supposizione, per creare symlink ai file accessibili dall'applicazione target nelle directory identificate nella fase di esplorazione.
L'attore malevolo monitora le operazioni sui file eseguite dall'applicazione target utilizzando strumenti come dtrace o FileMon. E può ritardare le operazioni usando "sleep(2)" e "usleep()" per preparare le condizioni appropriate per l'attacco, o far eseguire all'applicazione compiti impegnativi (analisi di file di grandi dimensioni, ecc.) a seconda dello scopo dell'applicazione.
L'attore malevolo potrebbe aver bisogno di qualche supposizione sui nomi dei file su cui l'applicazione target opererà.
L'attore malevolo cerca di creare symlink ai vari nomi di file.
Attack Techniques
-
The adversary monitors the file operations performed by the target application using a tool like dtrace or FileMon. And the adversary can delay the operations by using "sleep(2)" and "usleep()" to prepare the appropriate conditions for the attack, or make the application perform expansive tasks (large files parsing, etc.) depending on the purpose of the application.
-
The adversary may need a little guesswork on the filenames on which the target application would operate.IT: L'avversario monitora le operazioni sui file eseguite dall'applicazione target utilizzando strumenti come dtrace o FileMon. E l'avversario può ritardare le operazioni utilizzando "sleep(2)" e "usleep()" per preparare le condizioni appropriate per l'attacco, oppure far eseguire all'applicazione compiti impegnativi (analisi di file di grandi dimensioni, ecc.) a seconda dello scopo dell'applicazione.
-
The adversary tries to create symlinks to the various filenames.IT: L'avversario monitora le operazioni sui file eseguite dall'applicazione target utilizzando strumenti come dtrace o FileMon. E l'avversario può ritardare le operazioni utilizzando "sleep(2)" e "usleep()" per preparare le condizioni appropriate per l'attacco, oppure far eseguire all'applicazione compiti impegnativi (analisi di file di grandi dimensioni, ecc.) a seconda dello scopo dell'applicazione.
3
Step 3
Exploit[Target application operates on created symlinks to sensitive files] The adversary is able to create symlinks to sensitive files while the target application is operating on the file.
Create the symlink to the sensitive file such as configuration files, etc.
AI Translation
[L'applicazione target utilizza symlink creati verso file sensibili] L'avversario è in grado di creare symlink verso file sensibili mentre l'applicazione target sta operando sul file.
Creare il symlink verso il file sensibile, come file di configurazione, ecc.
Attack Techniques
-
Create the symlink to the sensitive file such as configuration files, etc.
Mitigations
2
Design: Check For The Existence Of Files To Be Created, If In Existence Verify They Are Neither Symlinks Nor Hard Links Before Opening Them.
Implementation: Use Randomly Generated File Names For Temporary Files. Give The Files Restrictive Permissions.
Consequences
Security Scopes Affected
Access Control
Accountability
Authentication
Authorization
Availability
Confidentiality
Integrity
Non-Repudiation
Potential Impacts
Bypass Protection Mechanism
Execute Unauthorized Commands
Gain Privileges
Modify Data
Other
Read Data
Unreliable Execution
Relationships
Parent CAPECs
Related ATT&CK Techniques
1
T1547.009
Shortcut Modification
Adversaries may create or modify shortcuts that can execute a program during system boot or user login. Shortcuts or symbolic …
Resources Required
1
None: No specialized resources are required to execute this type of attack. The only requirement is the ability to create the necessary symbolic link.