Техника на mitre.org

T1053.006: Таймеры systemd

Злоумышленники могут использовать таймеры systemd для первоначального или повторяющегося выполнения вредоносного кода. Таймеры systemd — это файлы блоков с расширением .timer, управляющие службами. Таймеры могут быть настроены на запуск по календарному событию или через определенный промежуток времени относительно начального момента. В среде Linux они могут использоваться в качестве альтернативы утилите cron.. Таймеры systemd могут быть активированы удаленно с помощью утилиты командной строки systemctl, работающей по SSH.

Для каждого файла .timer должен иметься соответствующий файл .service с таким же именем, например example.timer и example.service. Файлы .service — это файлы модулей службы systemd, которыми управляет диспетчер системы и служб systemd. Привилегированные таймеры записываются в /etc/systemd/system/ и /usr/lib/systemd/system, а таймеры пользовательского уровня — в ~/.config/systemd/user/.

Злоумышленники могут использовать таймеры systemd для выполнения вредоносного кода при загрузке системы или по расписанию с целью закрепления в системе. Таймеры, установленные по привилегированным путям, могут использоваться для закрепления в системе на уровне доступа root. Злоумышленники также могут устанавливать таймеры пользовательского уровня для закрепления в системе на этом уровне.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_persistence: PT-CR-1664: Unix_Systemd_Timers: Закрепление на узле с помощью файлов таймера подсистемы systemd. Атакующие могут использовать таймер для выполнения вредоносного кода при запуске системы или по расписанию для закрепления и повышения привилегий

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте создание процессов и (или) выполнение командных строк с PPID=1, запускаемых родительским процессом `systemd` и, как правило, от имени пользователя root.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте события о неожиданном изменении файлов юнитов таймера systemd в каталогах /etc/systemd/system, /usr/lib/systemd/system/ и ~/.config/systemd/user/, а также связанных с ними символических ссылках.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте команды, выполненные с помощью утилиты `systemd-run`, которая может использоваться для создания таймеров, и их аргументы.

ID	DS0003	Источник и компонент данных	Запланированное задание: Создание запланированного задания	Описание	Также можно обнаружить подозрительные таймеры systemd, сравнив результаты с показателями доверенной системы. Вредоносные таймеры systemd можно обнаружить с помощью утилиты systemctl для проверки системных таймеров: systemctl list-timers –all. Анализируйте содержимое соответствующих файлов .service, присутствующих в файловой системе, и следите за тем, чтобы они были связаны с правильными легитимными исполняемыми файлами.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте создание процессов и (или) выполнение командных строк с PPID=1, запускаемых родительским процессом `systemd` и, как правило, от имени пользователя root.
DS0022	Файл: Изменение файла	Отслеживайте события о неожиданном изменении файлов юнитов таймера systemd в каталогах /etc/systemd/system, /usr/lib/systemd/system/ и ~/.config/systemd/user/, а также связанных с ними символических ссылках.
DS0017	Команда: Выполнение команд	Отслеживайте команды, выполненные с помощью утилиты `systemd-run`, которая может использоваться для создания таймеров, и их аргументы.
DS0003	Запланированное задание: Создание запланированного задания	Также можно обнаружить подозрительные таймеры systemd, сравнив результаты с показателями доверенной системы. Вредоносные таймеры systemd можно обнаружить с помощью утилиты systemctl для проверки системных таймеров: systemctl list-timers –all. Анализируйте содержимое соответствующих файлов .service, присутствующих в файловой системе, и следите за тем, чтобы они были связаны с правильными легитимными исполняемыми файлами.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте доступ к системным утилитам, таким как `systemctl` или `systemd-run`, оставив его только тем пользователям, которым он действительно необходим.

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Оставьте доступ на чтение и запись к файлам модулей `.timer` службы `systemd` только избранным привилегированным пользователям, которым необходимо управлять системными службами.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте доступ к учетной записи root и запретите пользователям создавать и (или) изменять таймеры `systemd`.

ID	Название	Описание
M1018	Управление учетными записями	Ограничьте доступ к системным утилитам, таким как `systemctl` или `systemd-run`, оставив его только тем пользователям, которым он действительно необходим.
M1022	Ограничение разрешений для файлов и каталогов	Оставьте доступ на чтение и запись к файлам модулей `.timer` службы `systemd` только избранным привилегированным пользователям, которым необходимо управлять системными службами.
M1026	Управление привилегированными учетными записями	Ограничьте доступ к учетной записи root и запретите пользователям создавать и (или) изменять таймеры `systemd`.