T1547.013: Записи автозапуска XDG
Злоумышленники могут добавлять или изменять записи автозапуска XDG для выполнения вредоносных программ или команд во время загрузки среды рабочего стола пользователя при его входе в систему. Записи автозапуска XDG доступны в любой Linux-системе с поддержкой XDG. Записи автозапуска XDG используют ярлыки рабочего стола (.desktop
) для настройки среды рабочего стола пользователя при его входе в систему. Эти конфигурационные файлы определяют приложения, которые запускаются при входе пользователя в систему, используются для открытия файлов определенных типов и открывают съемные носители.
Злоумышленники могут использовать эту функцию для закрепления в системе, добавив путь к вредоносному бинарному файлу или команде в директиву Exec
в конфигурационном файле .desktop
. Когда при входе пользователя в систему загружается среда его рабочего стола, автоматически выполняются файлы .desktop
, расположенные в каталогах автозапуска XDG. Общесистемные записи автозапуска находятся в каталоге /etc/xdg/autostart
, а пользовательские — в каталоге \~/.config/autostart
.
Злоумышленники могут использовать эту технику совместно с маскировкой вредоносных записей автозапуска под легитимные программы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_persistence: PT-CR-1666: Unix_Autostart_Modify: Изменение файла автозапуска XDG
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes that may modify XDG autostart entries to execute programs or commands during system boot. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may modify XDG autostart entries to execute programs or commands during system boot. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Malicious XDG autostart entries may be detected by auditing file modification events within the |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Malicious XDG autostart entries may be detected by auditing file creation events within the |
---|
Меры противодействия
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Restrict write access to XDG autostart entries to only select privileged users. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Limit privileges of user accounts so only authorized privileged users can create and modify XDG autostart entries. |
---|
ID | M1033 | Название | Ограничение установки программного обеспечения | Описание | Restrict software installation to trusted repositories only and be cautious of orphaned software packages. |
---|