Есть ли способ остановить пользователя от создания исполняемых файлов и их запуска?

Атаки на вымогателей могут использовать эксплойты нулевого дня, но часто злоумышленник просто обманывает доверчивого пользователя за запуск исполняемого файла путем загрузки и щелчка мышью.

Предположим, у нас есть наивный пользователь и мы хотим ограничить его обычным путем. Есть ли способ ограничить их создание файла с исполняемыми привилегиями?

Или, в более общем смысле, есть ли способ создать список контроля доступа и определить, что этот пользователь может выполнять только файлы из этого списка?

Конкретная атака, о которой вы выразили беспокойство:

часто злоумышленник просто обманывает доверчивого пользователя за запуск исполняемого файла, загружая и щелкая.

По крайней мере, в общем случае, когда файл загружается в веб-браузер, это уже должно быть предотвращено в Ubuntu за счет соблюдения браузером политики « Выполнить-бит разрешен» . Наиболее важные части этой политики:

• Приложения, включая рабочие столы и оболочки, не должны запускать исполняемый код из файлов, когда они оба:

  • не хватает исполняемого бита
  • находится в домашнем каталоге пользователя или во временном каталоге.

• Файлы, загруженные из веб-браузера, почтового клиента и т. Д., Никогда не должны сохраняться как исполняемые.

Поэтому, если пользователю предлагается загрузить программу в веб-браузере, он делает это и пытается запустить файл, дважды щелкнув по нему, он не запустится. Это применимо, даже если загруженный файл является сценарием оболочки или даже файлом .desktop. (Если вы когда-нибудь задумывались, почему файлы .desktop в вашем домашнем каталоге должны быть помечены как исполняемые, даже если они не являются программами, вот почему.)

Пользователи могут изменять это поведение с помощью изменений конфигурации. Большинство не будет, и хотя те, кто это делает, вероятно, не должны, это не то, о чем вам следует беспокоиться. Больше беспокойства вызывает более сложная атака, о которой, я думаю, вы уже беспокоитесь, когда злоумышленник (или бот) инструктирует пользователя загрузить определенный файл, пометить его как исполняемый файл (через файловый браузер или с помощью chmod) и затем запустите его.

К сожалению, ограничение возможности пользователя устанавливать бит выполнения для файла или выполнять файлы, отличные от тех, которые находятся в каком-либо белом списке, не приведет к заметному смягчению проблемы. Некоторые атаки уже будут работать, а те, которые не могут быть тривиально изменены, чтобы они сделали. Основная проблема заключается в том, что эффект запуска файла может быть достигнут, даже если у файла нет исполняемых прав доступа .

Это лучше всего иллюстрируется примером. Предположим evil, это файл в текущем каталоге, который, если бы он дал исполняемый файл permissions ( chmod +x evil) и run ( ./evil), сделал бы что-то плохое. В зависимости от типа программы, один и тот же эффект может быть достигнут одним из следующих:

• . ./evilили source ./evilзапускает команды в evil текущей запущенной оболочке .
• bash ./evilработает evilв bash.
• python3 evilработает evilв python3.
• perl evilработает evilв perl.
• ... и вообще interpreter evilработает evilв переводчике interpreter .
• На большинстве систем /lib64/ld-linux-x86-64.so.2 ./evil запускается двоичный исполняемый файл evil .

Ни один из них, даже последний, не требует, чтобы у файла были права на исполняемый файл или даже чтобы пользователь мог дать файлу права на исполняемый файл.

Но вредоносные инструкции даже не должны быть такими сложными. Рассмотрим эту не злонамеренную команду, которая является одним из официально рекомендуемых способов установки или обновления NVM :

wget -qO- https://raw.githubusercontent.com/nvm-sh/nvm/v0.34.0/install.sh | bash

Причина, по которой он не является вредоносным, заключается в том, что NVM не является вредоносным ПО, но если вместо этого URL-адрес ссылается на чей-то скрипт, который при запуске делает зло, эта команда загрузит и запустит скрипт. Ни в коем случае никаким файлам не нужно давать исполняемые разрешения. Я считаю, что загрузка и запуск кода, содержащегося в вредоносном файле, с помощью одной команды, подобной этой, является довольно распространенным действием, которое злоумышленники обманывают пользователей.

Вы можете попытаться ограничить число доступных переводчиков для пользователей. Но на самом деле не существует способа сделать это, который бы существенно не влиял на обычные задачи, которые, по-видимому, вы хотите, чтобы пользователи могли выполнять. Если вы настраиваете крайне ограниченную среду, в которой почти все, что пользователь может делать на компьютере, запрещено, например, в киоске, который запускает только пару программ, то это может обеспечить некоторую значительную защиту. Но это не похоже на ваш вариант использования.

Таким образом, приблизительный ответ на ваш вопрос: «Нет». Более полный ответ заключается в том, что вам, вероятно, удастся предотвратить запуск пользователями любых файлов, кроме тех, которые вы указали в белом списке. Но это в строгом техническом смысле слова «выполнить», которое не требуется для достижения полного эффекта запуска большинства программ или сценариев. Чтобы предотвратить это , вы можете попытаться сделать белый список очень маленьким, чтобы в нем не было никаких переводчиков, кроме тех, которые могут быть сильно ограничены. Но даже если вам это удастся, пользователи не смогут многое сделать, а если вы сделаете это настолько маленьким, что не нанесете себе вреда, они, вероятно, ничего не сделают. (См . Комментарий Томаса Уорда .)

Если ваши пользователи могут навредить себе, их можно обмануть.

Возможно, вы сможете ограничить использование определенных программ или их поведение, которое может быть вредным, и, если вы смотрите на конкретные шаблоны, которым вымогатель склонен следовать, вы сможете предотвратить некоторые конкретные распространенные случаи. (См. AppArmor .) Это может обеспечить некоторую ценность. Но это не даст вам ничего похожего на комплексное решение, на которое вы надеетесь.

Какие бы технические меры (если они ни были) вы принимаете, лучше всего обучать пользователей. Это включает в себя указание им не запускать команды, которые они не понимают, и не использовать загруженные файлы в ситуациях, когда они не смогут объяснить, почему это достаточно безопасно. Но это также включает в себя такие вещи, как создание резервных копий, так что если что-то пойдет не так (из-за вредоносного ПО или иным образом), нанесенный вред будет минимальным.

ДА ^*

Это называется ограниченной оболочкой.

Вы можете использовать /bin/rbash, который уже доступен в Ubuntu, и комбинировать его с ограниченной переменной PATH . rbashБудет запрещать выполнение от чего - либо , что не в $PATH.

Добавить пользователя с ограниченными правами:

sudo adduser --shell /bin/rbash res-user

Создайте новый каталог, где мы можем связать двоичные файлы, в которые пользователь будет ограничен:

sudo mkdir /home/res-user/bin

Изменить .profileфайл:

sudo vim /home/res-user/.profile

if [ -n "$BASH_VERSION" ]; then
    # include .bashrc if it exists
    if [ -f "$HOME/.bashrc" ]; then
        . "$HOME/.bashrc"
    fi
fi

readonly PATH=/home/res-user/bin
export PATH

Сделайте .profile, bashrcи .bash_profileнеизменным

sudo chattr +i /home/res-user/.profile
sudo chattr +i /home/res-user/.bashrc
sudo chattr +i /home/res-user/.bash_profile

Теперь мы даем пользователю единственное, что ему разрешено делать, то есть открываем Firefox:

sudo ln -s /usr/lib/firefox/firefox /home/res-user/bin/

Теперь, если мы войдем как res-userмы можем только открыть Firefox:

res-user@localhost:~$ /home/res-user/bin/firefox --version
Mozilla Firefox 68.0.1

Мы не можем легко избежать нашей ограниченной оболочки:

res-user@localhost:~$ export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
-su: PATH: readonly variable

Пользователь с ограниченными правами не может сделать файлы исполняемыми или запустить их:

res-user@localhost:~$ chmod +x script.sh 
Command 'chmod' is available in '/bin/chmod'
res-user@localhost:~$ bash script.sh 
Command 'bash' is available in '/bin/bash'
The command could not be located because '/bin' is not included in the PATH environment variable.
bash: command not found

Пользователь с ограниченными правами не может выполнять злые сценарии из Интернета, потому что пользователь не может выполнять необходимые команды:

res-user@localhost:~$ wget -qO- https://raw.githubusercontent.com/nvm-sh/nvm/v0.34.0/install.sh | bash
Command 'wget' is available in '/usr/bin/wget'
The command could not be located because '/usr/bin' is not included in the PATH environment variable.
wget: command not found
Command 'bash' is available in '/bin/bash'
The command could not be located because '/bin' is not included in the PATH environment variable.
bash: command not found

^* _{Есть способы вырваться из ограниченных оболочек , но если ваш пользователь способен на это, то они могут быть не такими легковерными, как вы думаете.}