T1037.001: Сценарий входа в систему (Windows)
Для закрепления в системе злоумышленники могут использовать сценарии входа в Windows, автоматически запускаемые при инициализации процедуры входа. Windows позволяет запускать сценарии входа при каждом входе определенного пользователя или пользователя из определенной группы в систему. Это делается путем указания пути к сценарию в качестве значения HKCU\Environment\UserInitMprLogonScript
в реестре.
Злоумышленники могут использовать эти сценарии для закрепления в отдельной системе. В зависимости от конфигурации доступа в сценариях входа в систему могут потребоваться либо локальные учетные данные, либо учетная запись администратора.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_persistence: PT-CR-1350: Script_Path_Attribute_Changed: Попытка изменить атрибут LDAP отвечающий за запуск сценариев при входе в систему mitre_attck_persistence: PT-CR-667: Userinitmprlogonscript_Modify: Процесс изменил значение параметра реестра mitre_attck_persistence: PT-CR-1347: Logon_Script_Execution: Пользователь попытался запустить сценарий во время входа в систему
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска сценариев входа. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте создание процессов и (или) командных строк, которые выполняют сценарии входа. Аналитика 1. Сценарии инициализации при загрузке или входе в систему
|
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Отслеживайте создание ключей реестра, связанных со сценариями входа в систему Windows, а именно Злоумышленники могут планировать запуск программного обеспечения при каждом входе пользователя в систему для закрепления или перемещения внутри периметра. Для запуска сценария используется ключ реестра HKEY_CURRENT_USER\EnvironmentUserInitMprLogonScript. Эта сигнатура отслеживает изменения существующих ключей или создание новых ключей по этому пути. Если пользователь намеренно добавляет безопасный сценарий по этому пути, это может привести к ложным срабатываниям; однако такие случаи редки. Существуют и другие способы запуска сценариев при загрузке системы или входе в систему, которые не охватываются этой сигнатурой. Обратите внимание, что эта сигнатура и инструмент Windows Sysinternals Autoruns отслеживают изменения одного и того же пути реестра. Аналитика 1. Сценарии инициализации при загрузке или входе в систему
|
---|
Меры противодействия
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | Проследите, чтобы для кустов реестра были установлены надлежащие разрешения, которые не позволяют производить изменения ключей для сценариев входа в систему, помогающие злоумышленникам закрепиться в системе. |
---|