T1037.003: Сценарий входа в сеть
Для закрепления в системе злоумышленники могут использовать сценарии входа в сеть, автоматически запускаемые при инициализации процедуры входа. Сценарии входа в сеть могут быть назначены с помощью Active Directory или объектов групповой политики. Эти сценарии выполняются с привилегиями пользователя, которому они назначены. В зависимости от систем в сети инициализация одного из этих сценариев может применяться к нескольким или, возможно, всем системам.
Злоумышленники могут использовать эти сценарии для закрепления в сети. В зависимости от конфигурации доступа в сценариях входа в сеть могут потребоваться либо локальные учетные данные, либо учетная запись администратора.
Способы обнаружения
ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Monitor for changes made in the Active Directory that may use network logon scripts automatically executed at logon initialization to establish persistence. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor for newly constructed processes and/or command-lines that execute logon scripts |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments for logon scripts |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor for changes made to files for unexpected modifications to unusual accounts outside of normal administration duties |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for newly constructed files by unusual accounts outside of normal administration duties |
---|
Меры противодействия
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Restrict write access to logon scripts to specific administrators. |
---|