Матрица MITRE ATT&CK

Техника на mitre.org

T1037.003: Сценарий входа в сеть

Для закрепления в системе злоумышленники могут использовать сценарии входа в сеть, автоматически запускаемые при инициализации процедуры входа. Сценарии входа в сеть могут быть назначены с помощью Active Directory или объектов групповой политики. Эти сценарии выполняются с привилегиями пользователя, которому они назначены. В зависимости от систем в сети инициализация одного из этих сценариев может применяться к нескольким или, возможно, всем системам.

Злоумышленники могут использовать эти сценарии для закрепления в сети. В зависимости от конфигурации доступа в сценариях входа в сеть могут потребоваться либо локальные учетные данные, либо учетная запись администратора.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска сценариев входа.

ID	DS0026	Источник и компонент данных	Active Directory: Изменение объекта Active Directory	Описание	Отслеживайте изменения в Active Directory, в рамках которых для закрепления в системе злоумышленники могут использовать сценарии входа в сеть, автоматически запускаемые при инициализации процедуры входа.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файлов нетипичными учетными записями, не связанное со штатным администрированием системы.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте неожиданные изменения в файлах, производимые нетипичными учетными записями и не связанные со штатным администрированием системы.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте создание процессов и (или) выполнение командных строк, запускающих сценарии входа в систему.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска сценариев входа.
DS0026	Active Directory: Изменение объекта Active Directory	Отслеживайте изменения в Active Directory, в рамках которых для закрепления в системе злоумышленники могут использовать сценарии входа в сеть, автоматически запускаемые при инициализации процедуры входа.
DS0022	Файл: Создание файла	Отслеживайте создание файлов нетипичными учетными записями, не связанное со штатным администрированием системы.
DS0022	Файл: Изменение файла	Отслеживайте неожиданные изменения в файлах, производимые нетипичными учетными записями и не связанные со штатным администрированием системы.
DS0009	Процесс: Создание процесса	Отслеживайте создание процессов и (или) выполнение командных строк, запускающих сценарии входа в систему.

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Ограничьте доступ к сценариям входа в систему для определенных администраторов.

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	Ограничьте доступ к сценариям входа в систему для определенных администраторов.