T1037: Сценарии инициализации при загрузке или входе в систему
Для закрепления в системе злоумышленники могут использовать сценарии, автоматически запускаемые при инициализации процедуры входа или загрузки. Сценарии инициализации могут использоваться для выполнения административных задач, часто это включает выполнение других программ или отправку информации на внутренний сервер журналирования. Эти сценарии могут отличаться в зависимости от операционной системы и применяться локально или удаленно.
Злоумышленники могут использовать эти сценарии для закрепления в отдельной системе. В зависимости от конфигурации доступа в сценариях входа в систему могут потребоваться либо локальные учетные данные, либо учетная запись администратора.
Злоумышленник также может повысить свои привилегии, поскольку некоторые сценарии инициализации при загрузке системы или входе в систему выполняются с более высокими привилегиями.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Подтехники
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте неожиданные изменения в файлах, которое осуществляют нетипичные учетные записи, не связанные с администраторами системы. |
|---|
| ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Отслеживайте создание ключей реестра, связанных со сценариями входа в систему Windows, а именно Злоумышленники могут планировать запуск программного обеспечения при каждом входе пользователя в систему для закрепления или перемещения внутри периметра. Для запуска сценария используется ключ реестра HKEY_CURRENT_USER\EnvironmentUserInitMprLogonScript. Эта сигнатура отслеживает изменения существующих ключей или создание новых ключей по этому пути. Если пользователь намеренно добавляет безопасный сценарий по этому пути, это может привести к ложным срабатываниям; однако такие случаи редки. Существуют и другие способы запуска сценариев при загрузке системы или входе в систему, которые не охватываются этой сигнатурой. Обратите внимание, что эта сигнатура и инструмент Windows Sysinternals Autoruns отслеживают изменения одного и того же пути реестра. Анализ 1. Сценарии инициализации при загрузке или входе в систему
|
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска сценариев входа. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте файлы, недавно созданные нетипичными учетными записями, не связанными с администраторами системы. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте недавно созданные процессы и (или) командные строки, которые выполняют сценарии входа. |
|---|
| ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Отслеживайте изменения в Active Directory, в рамках которых для закрепления в системе злоумышленники могут использовать сценарии входа в сеть, автоматически запускаемые при инициализации процедуры входа. |
|---|
Меры противодействия
| ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | Проследите, чтобы для кустов реестра были установлены правильные разрешения, чтобы предотвратить изменение пользователями разделов для сценариев входа в систему, что может привести к удержанию доступа к системе. |
|---|
| ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Ограничьте доступ к сценариям входа в систему для определенных администраторов. |
|---|