T1543.002: Служба systemd
Злоумышленники могут создавать или изменять службы systemd для систематического выполнения полезной нагрузки с целью закрепления в системе. Диспетчер систем и служб systemd обычно используется для управления фоновыми процессами-демонами (также известными как службы) и другими системными ресурсами. Во многих дистрибутивах Linux служба systemd является системой инициализации (init) по умолчанию, заменяя устаревшие системы инициализации типа SysVinit и Upstart и сохраняя при этом обратную совместимость.
Диспетчер systemd использует конфигурационные файлы (юниты) с расширением .service
для кодирования информации о процессе службы. По умолчанию юниты системного уровня хранятся в подкаталоге /systemd/system
корневого каталога (/
). Юниты пользовательского уровня хранятся в подкаталогах /systemd/user
пользовательского каталога ($HOME
).
Внутри юнитов с расширением .service
для выполнения команд используются следующие директивы:
- Директивы
ExecStart
,ExecStartPre
иExecStartPost
выполняются при запуске службы вручную с помощьюsystemctl
или при запуске системы, если служба настроена на автоматический запуск. - Директива
ExecReload
выполняется при перезапуске службы. - Директивы
ExecStop
,ExecStopPre
иExecStopPost
выполняются при остановке службы.
Злоумышленники создавали новые файлы служб, изменяли команды, выполняемые директивами файла .service
, а также изменяли директиву, указывающую пользователя, от имени которого выполняется файл .service
, что могло привести к повышению привилегий. Злоумышленники также могут размещать символьные ссылки в этих каталогах, позволяя systemd находить соответствующие им полезные нагрузки независимо от того, где они реально находятся в файловой системе.
Директива User
в файле .service
может быть использована для запуска службы от имени определенного пользователя, что может привести к повышению привилегий в соответствии с правами соответствующих пользователя или группы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_persistence: PT-CR-1671: Unix_Systemd_Service_Modify: Закрепление на узле с помощью изменения файла системной службы. Атакующие могут создавать или изменять службы подсистемы systemd для многократного выполнения вредоносных полезных нагрузок
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Подозрительные службы systemd также можно обнаружить, сравнив результаты с показателями доверенной системы. Вредоносные службы systemd можно обнаружить с помощью утилиты systemctl, предназначенной для проверки системных служб: |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Запускаемые таким образом подозрительные процессы и сценарии с PPID=1 порождаются родительским процессом |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Для обнаружения файлов юнитов службы systemd можно использовать аудит событий создания и изменения файлов в категориях |
---|
ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Отслеживайте недавно созданные службы systemd, которые могут использоваться для систематического выполнения полезной нагрузки с целью закрепления в системе. |
---|
ID | DS0019 | Источник и компонент данных | Служба: Изменения в службе | Описание | Анализируйте содержимое файлов |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Для обнаружения файлов юнитов службы systemd можно использовать аудит событий создания и изменения файлов в категориях |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте доступ пользователей к системным утилитам, таким как |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Оставьте доступ на чтение и запись к файлам модулей службы |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Создание и изменение файлов модулей службы |
---|
ID | M1033 | Название | Ограничение установки программного обеспечения | Описание | Настройте установку ПО только из доверенных репозиториев и отслеживайте появление неиспользуемых пакетов. |
---|