← Назад к блогу

Детект повышения привилегий до root на Linux

Повышение привилегий — один из самых опасных этапов атаки на Linux. Злоумышленник может начать с обычного пользователя, но после получения UID 0 он получает почти полный контроль над системой.

Как атакуют

Типичные сценарии:

  • эксплуатация уязвимого демона с последующим вызовом setuid(0);
  • злоупотребление неправильно настроенными SUID-бинарями;
  • цепочка локальных LPE-уязвимостей после первичного проникновения.

На практике это часто выглядит как “тихий” переход процесса в root и быстрые последующие действия.

Почему это опасно

Root-права дают:

  • полный доступ к чувствительным файлам;
  • возможность отключать защиту и подчищать следы;
  • удобные механизмы закрепления в системе.

Если пропустить этот шаг, дальше сдерживать атаку значительно сложнее.

Как детектить корректно

Эффективный детект должен фокусироваться на переходе non-root процесса в UID 0 через семейство setuid, и при этом не тонуть в шуме.

Именно это делает встроенное правило SecureExec privilege_escalation_to_root:

  • срабатывает, когда non-root процесс получает UID 0;
  • снижает ложные срабатывания за счёт точечных исключений для известных сценариев privilege separation;
  • оставляет видимыми подозрительные пути через эксплуатацию демонов.

Как SecureExec помогает в расследовании

Важен не только алерт, но и контекст. SecureExec сохраняет:

  • сам алерт (правило, уровень, время);
  • связанные сырые события;
  • контекст процесса и родительского процесса;
  • полную историю в Elasticsearch для поиска и ретроспективы.

Это позволяет быстро перейти от алерта к полной картине атаки и понять, была ли эскалация легитимной.

Усильте защиту Linux-серверов

Повышение привилегий нельзя оставлять “на ручной разбор”. Включайте server-side алерты, настраивайте suppression под вашу среду и храните расследовательскую историю с первого дня.

Используйте SecureExec, чтобы видеть эскалацию в root на ранней стадии и реагировать до закрепления атакующего.