MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1546.005: Команда trap

Злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого по сигналам прерывания. Команда trap позволяет программам и оболочкам указывать команды, которые будут выполняться при получении сигналов прерывания. Распространенной ситуацией является использование сценария, позволяющего обрабатывать стандартные клавиатурные команды прерывания, такие как ctrl+c и ctrl+d, и корректно завершать работу программы.

Злоумышленники могут использовать этот механизм для регистрации кода, который будет выполняться при поступлении в оболочку определенных сигналов прерывания, обеспечивая закрепление в системе. Команды trap имеют следующий формат: trap 'command list' signals; список 'command list' выполняется, когда поступают сигналы из блока signals.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_execution: PT-CR-1021: Unix_Suspicious_Command: Подозрительные команды выполнены на узле под управлением Unix

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may establish persistence by executing malicious content triggered by an interrupt signal.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may establish persistence by executing malicious content triggered by an interrupt signal.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for changes made to files that may establish persistence by executing malicious content triggered by an interrupt signal.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for newly constructed files that may establish persistence by executing malicious content triggered by an interrupt signal.