Техника на mitre.org

T1037.004: Сценарии RC

Злоумышленники могут закрепиться в системе, изменив сценарии RC, которые выполняются при запуске Unix-подобных систем. Эти файлы позволяют системным администраторам назначать службы, запускаемые при переходе на тот или иной уровень выполнения. Для изменения сценариев RC требуются привилегии уровня root.

Злоумышленники могут закрепиться в системе, добавив путь к вредоносному бинарному файлу или вредоносные команды оболочки в файлы rc.local, rc.common и другие сценарии RC, специфичные для соответствующего дистрибутива Unix-подобной системы. При перезагрузке система выполняет содержимое сценария от имени учетной записи root, что приводит к закреплению злоумышленников в системе.

Вредоносное использование злоумышленниками сценариев RC особенно эффективно в облегченных дистрибутивах Unix-подобных систем, где root устанавливается как пользователь по умолчанию — например, в IoT- или встраиваемых системах.

В некоторых Unix-подобных системах отказались от использования сценариев RC и перешли на Systemd. В macOS этот механизм считается устаревшим — от него отказались в пользу Launchd . Эта техника может использоваться в Mac OS X 10.3 (Panther) и более ранних версиях, которые все еще поддерживают выполнение сценариев RC. Для поддержания обратной совместимости некоторые системы, например Ubuntu, будут выполнять сценарии RC, если они существуют и для них настроены нужные права доступа.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_persistence: PT-CR-444: Unix_Init_Script_Modify: Изменение файлов, исполняемых при загрузке ОС

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файла `/etc/rc.local`.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте создание процессов и (или) выполнение командных строк, запускающих /etc/rc.local (при наличии).

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте неожиданные изменения в сценариях RC в каталоге /etc/.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, связанными со сценариями RC, на предмет запуска нетипичных или неизвестных приложений или подозрительного поведения.

ID	Источник и компонент данных	Описание
DS0022	Файл: Создание файла	Отслеживайте создание файла `/etc/rc.local`.
DS0009	Процесс: Создание процесса	Отслеживайте создание процессов и (или) выполнение командных строк, запускающих /etc/rc.local (при наличии).
DS0022	Файл: Изменение файла	Отслеживайте неожиданные изменения в сценариях RC в каталоге /etc/.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, связанными со сценариями RC, на предмет запуска нетипичных или неизвестных приложений или подозрительного поведения.

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Ограничьте привилегии учетных записей пользователей, чтобы только авторизованные пользователи могли редактировать файл rc.common.

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	Ограничьте привилегии учетных записей пользователей, чтобы только авторизованные пользователи могли редактировать файл rc.common.