文件和目录权限修改

对手可能会修改文件或目录权限/属性，以规避访问控制列表 (ACL) 并访问受保护的文件。(引用: Hybrid Analysis Icacls1 June 2018)(引用: Hybrid Analysis Icacls2 May 2018) 文件和目录权限通常由文件或目录所有者或具有适当权限的用户通过 ACL 管理。文件和目录 ACL 实现因平台而异，但通常明确指定哪些用户或组可以执行哪些操作（读取、写入、执行等）。 修改可能包括更改特定的访问权限，这可能需要获取文件或目录的所有权和/或提升权限，具体取决于文件或目录的现有权限。这可能会启用恶意活动，例如修改、替换或删除特定文件或目录。特定文件和目录的修改可能是许多技术的必要步骤，例如通过辅助功能、启动或登录初始化脚本、Unix Shell 配置修改建立持久性，或通过劫持执行流污染/劫持其他重要的二进制/配置文件。 对手还可能更改符号链接的权限。例如，恶意软件（特别是勒索软件）可能会修改符号链接及其相关设置，以启用从具有远程路径的本地快捷方式访问文件。(引用: new_rust_based_ransomware)(引用: bad_luck_blackcat)(引用: falconoverwatch_blackcat_attack)(引用: blackmatter_blackcat)(引用: fsutil_behavior)