MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1547: Автозапуск при загрузке или входе в систему

Злоумышленники могут изменить настройки системы для автоматического выполнения программ при загрузке или входе в систему с целью закрепления в системе или повышения уровня своих привилегий. Операционные системы могут иметь механизмы для автоматического запуска программ при загрузке системы или входе в учетную запись. К таким механизмам можно отнести автоматическое выполнение программ, которые расположены в специальных каталогах или на которые имеются ссылки в репозиториях с информацией о конфигурации, например в реестре Windows. Злоумышленник также может достичь этой цели, изменив или расширив возможности ядра.

Поскольку некоторые программы автозапуска при загрузке системы или входе в систему запускаются с повышенными привилегиями, злоумышленник может использовать их для повышения своих привилегий.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-666: Universal_Windows_Platform_Apps_Modify: Установлен ключ для UWP-приложения

Способы обнаружения

IDDS0008Источник и компонент данныхЯдро: Загрузка модуля ядраОписание

LKM-модули обычно загружаются в /lib/modules и имеют расширение .ko ("kernel object" — объект ядра), начиная с версии 2.6 ядра Linux .

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Можно зарегистрировать любое количество пользовательских поставщиков времени, и для каждого из них может потребоваться запись полезной нагрузки в виде DLL на диск .

IDDS0027Источник и компонент данныхДрайвер: Загрузка драйвераОписание

Отслеживайте необычные действия по установке драйверов ядра, с помощью которых злоумышленники могут использовать обработчики печати для запуска вредоносных DLL-библиотек во время загрузки системы с целью закрепления в системе и (или) повышения своих привилегий.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, таких как W32tm.exe . Для анализа путей автоматического запуска, включая DLL-библиотеки, зарегистрированные в качестве поставщиков времени, может использоваться инструмент Sysinternals Autoruns .

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API AddPrintProcessor и GetPrintProcessorDirectory.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах реестра Windows и (или) значениях, которые модифицируют данные W32Time в реестре.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для изменения файлов PLIST с целью автоматического запуска приложений при входе пользователя в систему.

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Отслеживайте добавление ключей реестра в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\. С помощью таких инструментов, как Sysinternals Autoruns, можно обнаружить изменения в системе, включая просмотр в реестре расположений механизма активной установки и модификацию каталогов автозагрузки, которые могут указывать на попытки закрепления в системе. Запуск подозрительных программ через автозагрузку может проявляться в виде нетипичных процессов, которые можно выявить путем сравнения с предыдущими запусками системы.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживание plist-файлов, связанных с перезапуском приложений, может помочь выявить, когда приложение регистрируется для последующего перезапуска.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Для обнаружения вредоносных записей автозагрузки XDG можно провести аудит событий создания файлов в каталогах /etc/xdg/autostart и ~/.config/autostart. В зависимости от конфигурации специалистам по безопасности может потребоваться запросить переменные окружения $XDG_CONFIG_HOME или $XDG_CONFIG_DIRS, чтобы определить пути к записям автозапуска. Файлы записей автозапуска, не связанные с легитимными пакетами, можно считать подозрительными. Кроме того, для обнаружения подозрительных записей можно сравнивать результаты анализа с показателями доверенной системы.