T1037.001: Сценарий входа в систему (Windows)

Для закрепления в системе злоумышленники могут использовать сценарии входа в Windows, автоматически запускаемые при инициализации процедуры входа. Windows позволяет запускать сценарии входа при каждом входе определенного пользователя или пользователя из определенной группы в систему. Это делается путем указания пути к сценарию в качестве значения HKCU\Environment\UserInitMprLogonScript в реестре.

Злоумышленники могут использовать эти сценарии для закрепления в отдельной системе. В зависимости от конфигурации доступа в сценариях входа в систему могут потребоваться либо локальные учетные данные, либо учетная запись администратора.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-1350: Script_Path_Attribute_Changed: Попытка изменить атрибут LDAP отвечающий за запуск сценариев при входе в систему mitre_attck_persistence: PT-CR-667: Userinitmprlogonscript_Modify: Процесс изменил значение параметра реестра mitre_attck_persistence: PT-CR-1347: Logon_Script_Execution: Пользователь попытался запустить сценарий во время входа в систему

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска сценариев входа.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте создание процессов и (или) командных строк, которые выполняют сценарии входа.

Аналитика 1. Сценарии инициализации при загрузке или входе в систему

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND CommandLine="regadd\EnvironmentUserInitMprLogonScript"

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Отслеживайте создание ключей реестра, связанных со сценариями входа в систему Windows, а именно HKCU\Environment\UserInitMprLogonScript.

Злоумышленники могут планировать запуск программного обеспечения при каждом входе пользователя в систему для закрепления или перемещения внутри периметра. Для запуска сценария используется ключ реестра HKEY_CURRENT_USER\EnvironmentUserInitMprLogonScript. Эта сигнатура отслеживает изменения существующих ключей или создание новых ключей по этому пути. Если пользователь намеренно добавляет безопасный сценарий по этому пути, это может привести к ложным срабатываниям; однако такие случаи редки. Существуют и другие способы запуска сценариев при загрузке системы или входе в систему, которые не охватываются этой сигнатурой. Обратите внимание, что эта сигнатура и инструмент Windows Sysinternals Autoruns отслеживают изменения одного и того же пути реестра.

Аналитика 1. Сценарии инициализации при загрузке или входе в систему

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode IN (12, 14, 13)) TargetObject= "\Environment*UserInitMprLogonScript")

Меры противодействия

IDM1024НазваниеОграничение прав доступа к рееструОписание

Проследите, чтобы для кустов реестра были установлены надлежащие разрешения, которые не позволяют производить изменения ключей для сценариев входа в систему, помогающие злоумышленникам закрепиться в системе.