Privilege escalation редко начинается с одного магического эксплойта. Чаще это цепочка мелких слабостей: старая версия ядра, лишние SUID-бинарники, сервисы от root, забытые cron-задачи, слабые sudo-права, world-writable скрипты и секреты в истории команд. Для защитника ценность такого материала не в командах атаки, а в том, чтобы превратить его в повторяемый аудит.
Что проверять регулярно
- Версия ядра и дистрибутива: не только номер, но и наличие backported security fixes.
- Список SUID/SGID и capabilities: каждое отклонение от baseline должно иметь владельца и причину.
- sudoers и группы: исключить wildcard-команды, лишний NOPASSWD и доступ к shell escape.
- Сервисы от root: проверить unit-файлы, рабочие каталоги, переменные окружения и writable пути.
- Cron/systemd timers: убедиться, что вызываемые скрипты и каталоги не доступны на запись обычным пользователям.
- Секреты: history-файлы, конфиги, backup-архивы, SSH-ключи и токены в домашних каталогах.
Как это должен видеть SOC
Успешная эскалация привилегий оставляет не только факт root-доступа, но и подготовительные сигналы: массовая инвентаризация файлов, обращения к нестандартным SUID, чтение конфигураций, поиск ключей, изменения cron и sudoers. Для production-систем полезны правила, которые не кричат на каждый admin action, но выделяют необычную последовательность действий.
Как интегрировать в SecMon Pro
Для SecMon это хороший источник требований к будущему authenticated host-аудиту: не запускать опасные проверки, а собирать redacted inventory, сравнивать с baseline, оценивать privilege boundary и формировать remediation roadmap. Finding должен появляться только там, где есть доказательство риска, владелец исправления и критерий ретеста.