Analyse d'Artefact : Droits Sudo et Élévation de Privilèges

Note

Résumé exécutif : l’utilitaire sudo (SuperUser DO) est le mécanisme standard sur les systèmes de type Unix permettant aux utilisateurs autorisés d’exécuter des commandes en tant que root (ou un autre utilisateur) tout en générant une piste d’audit. Pour les analystes DFIR, l’analyse des fichiers de configuration sudo lors d’une investigation post-mortem fournit la réponse définitive à une question critique : “qui a le droit légal (ou illégal) de devenir root sur cette machine ?” Les acteurs de la menace manipulent fréquemment ces fichiers pour établir une persistance furtive ou faciliter une élévation locale de privilèges (LPE) sans avoir besoin d’exploiter des vulnérabilités du noyau.

1. Emplacement des artefacts (le puzzle de la configuration)

La configuration sudo est rarement confinée à un seul fichier. Les administrateurs système et les outils de provisionnement automatisé (comme Ansible ou Terraform) utilisent massivement des répertoires d’inclusion modulaires (drop-in directories).

En supposant que l’image forensique compromise est montée sur /mnt/analyse/, les analystes doivent inspecter deux emplacements principaux :

1. Le fichier de configuration principal : /mnt/analyse/etc/sudoers
2. Le répertoire d’inclusion : /mnt/analyse/etc/sudoers.d/

Danger

Focus DFIR : le répertoire /etc/sudoers.d/ est la cachette préférée des attaquants. Au lieu de modifier le fichier principal sudoers qui est très surveillé — ce qui risque de casser la stabilité du système ou d’être écrasé par les mises à jour de l’OS — un adversaire déposera discrètement un petit fichier au nom inoffensif (ex: backup-agent ou 01-system-update) dans ce répertoire.

2. Décoder la syntaxe Sudo

La syntaxe sudoers dicte exactement quelles actions sont permises. Elle suit un paradigme strict : QUI OÙ=(EN_TANT_QUE) QUOI

Pour chasser les modifications malveillantes, les analystes doivent comprendre comment lire ces règles :

• La règle “Open Bar” (Dangereuse) : nico ALL=(ALL:ALL) ALL

  • Qui : l’utilisateur nico
  • Où : sur tous les hôtes (ALL)
  • En tant que : n’importe quel utilisateur ou n’importe quel groupe (ALL:ALL)
  • Quoi : peut exécuter n’importe quelle commande (ALL).

• La directive “NOPASSWD” (Le rêve de l’attaquant) : www-data ALL=(ALL) NOPASSWD: ALL

  • Cette règle permet au compte de service web www-data de devenir root sans jamais taper de mot de passe. Si des acteurs de la menace déploient un webshell sur un serveur avec cette configuration, ils obtiennent immédiatement la domination root sans avoir besoin d’un second exploit.

3. Le piège des GTFOBins (Élévation de privilèges subtile)

Les administrateurs tentent souvent d’appliquer le principe du moindre privilège en restreignant un utilisateur à une seule commande administrative spécifique. Cependant, cela crée bien souvent une vulnérabilité sévère.

• L’intention : backup ALL=(root) /usr/bin/find (l’utilisateur de sauvegarde n’est autorisé qu’à utiliser la commande find pour localiser des fichiers).
• La faille : de nombreux binaires Unix natifs possèdent des fonctionnalités interactives ou la capacité de générer des sous-shells. La commande find, par exemple, dispose d’un indicateur -exec.
• L’attaque : sudo find . -exec /bin/sh \;

En exécutant cette commande, l’attaquant contourne instantanément la restriction et génère un shell root interactif.

Ce concept est connu sous le nom de GTFOBins (Get The F*** Out Binaries). Des centaines de binaires légitimes (vim, less, awk, tar, python, nmap) peuvent être abusés de cette manière. Si vous observez un binaire très spécifique autorisé dans le fichier sudoers, croisez-le avec le référentiel GTFOBins pour déterminer s’il permet des échappées de shell.

4. Triage DFIR et intégrité des fichiers

Lors de la réalisation d’une analyse hors ligne, vous devez examiner les métadonnées des fichiers avant d’analyser leur contenu.

1. Analyse des MAC Times : vérifiez l’heure de modification (mtime) de /etc/sudoers et de tous les fichiers au sein de /etc/sudoers.d/. Un horodatage de modification récent qui s’aligne avec la fenêtre d’intrusion suspectée est la preuve définitive d’une tentative de LPE ou de persistance.
2. Permissions des fichiers : par conception, les fichiers sudoers doivent être en lecture seule (0440 ou -r--r-----). Si un fichier dans /etc/sudoers.d/ possède des permissions d’écriture (0640 ou plus), c’est une anomalie grave indiquant une falsification ou une erreur de configuration majeure.

5. Requêtes de Threat Hunting automatisées

Bash (Script d'audit hors ligne)

audit_sudoers_offline.sh

#!/bin/bash
TARGET_DIR="/mnt/analyse"

echo "[+] Audit du fichier sudoers principal pour NOPASSWD..."
grep -E -i "nopasswd" $TARGET_DIR/etc/sudoers | grep -v "^#"

echo "[+] Audit du répertoire d'inclusion sudoers.d..."
grep -rE -i "nopasswd" $TARGET_DIR/etc/sudoers.d/ | grep -v "^#"

echo "[+] Vérification des permissions de fichiers dangereuses (Devrait être 440)..."
stat -c "%a %n" $TARGET_DIR/etc/sudoers $TARGET_DIR/etc/sudoers.d/* | grep -v "440"

Sigma (Chasse en direct)

sigma_sudo_gtfobins_execution.yaml

title: Exécution Sudo de GTFOBins Potentiels
id: 1a2b3c4d-5e6f-7a8b-9c0d-1e2f3a4b5c6d
status: experimental
description: Détecte l'exécution de GTFOBins connus via sudo, une technique courante pour s'échapper d'environnements restreints et obtenir une LPE.
logsource:
    category: process_creation
    product: linux
detection:
    selection:
        Image|endswith: '/sudo'
        CommandLine|contains|any:
            - ' find '
            - ' awk '
            - ' nmap '
            - ' vim '
            - ' less '
            - ' tar '
        CommandLine|contains|any:
            - '-exec '
            - '--exec '
            - '!/bin/sh'
            - 'os.system'
    condition: selection
level: high
tags:
    - attack.privilege_escalation
    - attack.t1548.003

Prochaines étapes de corrélation

Si vous identifiez une règle malveillante, pivotez immédiatement vers les Journaux d’authentification Linux (auth.log ou secure). Interrogez les journaux pour COMMAND= afin d’identifier exactement quand l’attaquant a utilisé ses privilèges sudo fraîchement créés et quelles commandes de post-exploitation il a exécutées. Par ailleurs, passez en revue l’Analyse des comptes pour vérifier si l’attaquant s’est ajouté directement aux groupes sudo ou wheel dans /etc/group.

---

Références et lectures complémentaires

• GTFOBins : Bypassing local security restrictions
• MITRE ATT&CK : Abuse Elevation Control Mechanism: Sudo and Sudo Caching (T1548.003)
• Artefact lié : Analyse des comptes et privilèges Linux
• Artefact lié : Journaux d’authentification Linux (auth.log)