Техника на mitre.org

T1546.005: Команда trap

Злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого по сигналам прерывания. Команда trap позволяет программам и оболочкам указывать команды, которые будут выполняться при получении сигналов прерывания. Распространенной ситуацией является использование сценария, позволяющего обрабатывать стандартные клавиатурные команды прерывания, такие как ctrl+c и ctrl+d, и корректно завершать работу программы.

Злоумышленники могут использовать этот механизм для регистрации кода, который будет выполняться при поступлении в оболочку определенных сигналов прерывания, обеспечивая закрепление в системе. Команды trap имеют следующий формат: trap 'command list' signals; список 'command list' выполняется, когда поступают сигналы из блока signals.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_execution: PT-CR-1021: Unix_Suspicious_Command: Подозрительные команды выполнены на узле под управлением Unix

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого по сигналам прерывания.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файлов, с помощью которых злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого, активируемого по сигналам прерывания.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения в файлах, с помощью которых злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого, активируемого по сигналам прерывания.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого, активируемого по сигналам прерывания.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого по сигналам прерывания.
DS0022	Файл: Создание файла	Отслеживайте создание файлов, с помощью которых злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого, активируемого по сигналам прерывания.
DS0022	Файл: Изменение файла	Отслеживайте изменения в файлах, с помощью которых злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого, активируемого по сигналам прерывания.
DS0009	Процесс: Создание процесса	Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого, активируемого по сигналам прерывания.