T1037.003: Сценарий входа в сеть

Для закрепления в системе злоумышленники могут использовать сценарии входа в сеть, автоматически запускаемые при инициализации процедуры входа. Сценарии входа в сеть могут быть назначены с помощью Active Directory или объектов групповой политики. Эти сценарии выполняются с привилегиями пользователя, которому они назначены. В зависимости от систем в сети инициализация одного из этих сценариев может применяться к нескольким или, возможно, всем системам.

Злоумышленники могут использовать эти сценарии для закрепления в сети. В зависимости от конфигурации доступа в сценариях входа в сеть могут потребоваться либо локальные учетные данные, либо учетная запись администратора.

Способы обнаружения

IDDS0026Источник и компонент данныхActive Directory: Изменение объекта Active DirectoryОписание

Monitor for changes made in the Active Directory that may use network logon scripts automatically executed at logon initialization to establish persistence.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for newly constructed processes and/or command-lines that execute logon scripts

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments for logon scripts

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for changes made to files for unexpected modifications to unusual accounts outside of normal administration duties

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for newly constructed files by unusual accounts outside of normal administration duties

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Restrict write access to logon scripts to specific administrators.