T1547: Автозапуск при загрузке или входе в систему
Злоумышленники могут изменить настройки системы для автоматического выполнения программ при загрузке или входе в систему с целью закрепления в системе или повышения уровня своих привилегий. Операционные системы могут иметь механизмы для автоматического запуска программ при загрузке системы или входе в учетную запись. К таким механизмам можно отнести автоматическое выполнение программ, которые расположены в специальных каталогах или на которые имеются ссылки в репозиториях с информацией о конфигурации, например в реестре Windows. Злоумышленник также может достичь этой цели, изменив или расширив возможности ядра.
Поскольку некоторые программы автозапуска при загрузке системы или входе в систему запускаются с повышенными привилегиями, злоумышленник может использовать их для повышения своих привилегий.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_persistence: PT-CR-666: Universal_Windows_Platform_Apps_Modify: Установлен ключ для UWP-приложения
Способы обнаружения
ID | DS0008 | Источник и компонент данных | Ядро: Загрузка модуля ядра | Описание | LKM-модули обычно загружаются в |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Можно зарегистрировать любое количество пользовательских поставщиков времени, и для каждого из них может потребоваться запись полезной нагрузки в виде DLL на диск . |
---|
ID | DS0027 | Источник и компонент данных | Драйвер: Загрузка драйвера | Описание | Отслеживайте необычные действия по установке драйверов ядра, с помощью которых злоумышленники могут использовать обработчики печати для запуска вредоносных DLL-библиотек во время загрузки системы с целью закрепления в системе и (или) повышения своих привилегий. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, таких как W32tm.exe . Для анализа путей автоматического запуска, включая DLL-библиотеки, зарегистрированные в качестве поставщиков времени, может использоваться инструмент Sysinternals Autoruns . |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах реестра Windows и (или) значениях, которые модифицируют данные W32Time в реестре. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для изменения файлов PLIST с целью автоматического запуска приложений при входе пользователя в систему. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Отслеживайте добавление ключей реестра в |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживание plist-файлов, связанных с перезапуском приложений, может помочь выявить, когда приложение регистрируется для последующего перезапуска. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Для обнаружения вредоносных записей автозагрузки XDG можно провести аудит событий создания файлов в каталогах |
---|