T1547.013: Записи автозапуска XDG

Злоумышленники могут добавлять или изменять записи автозапуска XDG для выполнения вредоносных программ или команд во время загрузки среды рабочего стола пользователя при его входе в систему. Записи автозапуска XDG доступны в любой Linux-системе с поддержкой XDG. Записи автозапуска XDG используют ярлыки рабочего стола (.desktop) для настройки среды рабочего стола пользователя при его входе в систему. Эти конфигурационные файлы определяют приложения, которые запускаются при входе пользователя в систему, используются для открытия файлов определенных типов и открывают съемные носители.

Злоумышленники могут использовать эту функцию для закрепления в системе, добавив путь к вредоносному бинарному файлу или команде в директиву Exec в конфигурационном файле .desktop. Когда при входе пользователя в систему загружается среда его рабочего стола, автоматически выполняются файлы .desktop, расположенные в каталогах автозапуска XDG. Общесистемные записи автозапуска находятся в каталоге /etc/xdg/autostart, а пользовательские — в каталоге \~/.config/autostart.

Злоумышленники могут использовать эту технику совместно с маскировкой вредоносных записей автозапуска под легитимные программы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_persistence: PT-CR-1666: Unix_Autostart_Modify: Изменение файла автозапуска XDG

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Для обнаружения вредоносных записей автозапуска XDG можно провести аудит событий изменения файлов в каталогах /etc/xdg/autostart и ~/.config/autostart. В зависимости от конфигурации специалистам по безопасности может потребоваться запросить переменные окружения $XDG_CONFIG_HOME или $XDG_CONFIG_DIRS, чтобы определить пути к записям автозапуска. Файлы записей автозапуска, не связанные с легитимными пакетами, можно считать подозрительными. Кроме того, для обнаружения подозрительных записей можно сравнивать результаты анализа с показателями доверенной системы.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Для обнаружения вредоносных записей автозапуска XDG можно провести аудит событий создания файлов в каталогах /etc/xdg/autostart и ~/.config/autostart. В зависимости от конфигурации специалистам по безопасности может потребоваться запросить переменные окружения $XDG_CONFIG_HOME или $XDG_CONFIG_DIRS, чтобы определить пути к записям автозапуска. Файлы записей автозапуска, не связанные с легитимными пакетами, можно считать подозрительными. Кроме того, для обнаружения подозрительных записей можно сравнивать результаты анализа с показателями доверенной системы.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для модификации записи автозапуска XDG с целью выполнения программ или команд во время загрузки системы.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут модифицировать записи автозапуска XDG с целью выполнения программ или команд во время загрузки системы.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте права пользователей таким образом, чтобы только авторизованные привилегированные пользователи могли создавать и изменять записи автозапуска XDG.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Ограничьте доступ к записям автозапуска XDG только для избранных привилегированных пользователей.

IDM1033НазваниеОграничение установки программного обеспеченияОписание

Настройте установку ПО только из доверенных репозиториев и отслеживайте появление неиспользуемых пакетов.