T1546.005: Команда trap
Злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого по сигналам прерывания. Команда trap
позволяет программам и оболочкам указывать команды, которые будут выполняться при получении сигналов прерывания. Распространенной ситуацией является использование сценария, позволяющего обрабатывать стандартные клавиатурные команды прерывания, такие как ctrl+c
и ctrl+d
, и корректно завершать работу программы.
Злоумышленники могут использовать этот механизм для регистрации кода, который будет выполняться при поступлении в оболочку определенных сигналов прерывания, обеспечивая закрепление в системе. Команды trap имеют следующий формат: trap 'command list' signals
; список 'command list' выполняется, когда поступают сигналы из блока signals.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_execution: PT-CR-1021: Unix_Suspicious_Command: Подозрительные команды выполнены на узле под управлением Unix
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes that may establish persistence by executing malicious content triggered by an interrupt signal. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may establish persistence by executing malicious content triggered by an interrupt signal. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor for changes made to files that may establish persistence by executing malicious content triggered by an interrupt signal. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for newly constructed files that may establish persistence by executing malicious content triggered by an interrupt signal. |
---|