MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1547.013: Записи автозапуска XDG

Злоумышленники могут добавлять или изменять записи автозапуска XDG для выполнения вредоносных программ или команд во время загрузки среды рабочего стола пользователя при его входе в систему. Записи автозапуска XDG доступны в любой Linux-системе с поддержкой XDG. Записи автозапуска XDG используют ярлыки рабочего стола (.desktop) для настройки среды рабочего стола пользователя при его входе в систему. Эти конфигурационные файлы определяют приложения, которые запускаются при входе пользователя в систему, используются для открытия файлов определенных типов и открывают съемные носители.

Злоумышленники могут использовать эту функцию для закрепления в системе, добавив путь к вредоносному бинарному файлу или команде в директиву Exec в конфигурационном файле .desktop. Когда при входе пользователя в систему загружается среда его рабочего стола, автоматически выполняются файлы .desktop, расположенные в каталогах автозапуска XDG. Общесистемные записи автозапуска находятся в каталоге /etc/xdg/autostart, а пользовательские — в каталоге \~/.config/autostart.

Злоумышленники могут использовать эту технику совместно с маскировкой вредоносных записей автозапуска под легитимные программы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_persistence: PT-CR-1666: Unix_Autostart_Modify: Изменение файла автозапуска XDG

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may modify XDG autostart entries to execute programs or commands during system boot.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may modify XDG autostart entries to execute programs or commands during system boot.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Malicious XDG autostart entries may be detected by auditing file modification events within the /etc/xdg/autostart and ~/.config/autostart directories. Depending on individual configurations, defenders may need to query the environment variables $XDG_CONFIG_HOME or $XDG_CONFIG_DIRS to determine the paths of Autostart entries. Autostart entry files not associated with legitimate packages may be considered suspicious. Suspicious entries can also be identified by comparing entries to a trusted system baseline.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Malicious XDG autostart entries may be detected by auditing file creation events within the /etc/xdg/autostart and ~/.config/autostart directories. Depending on individual configurations, defenders may need to query the environment variables $XDG_CONFIG_HOME or $XDG_CONFIG_DIRS to determine the paths of Autostart entries. Autostart entry files not associated with legitimate packages may be considered suspicious. Suspicious entries can also be identified by comparing entries to a trusted system baseline.

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Restrict write access to XDG autostart entries to only select privileged users.

IDM1018НазваниеУправление учетными записямиОписание

Limit privileges of user accounts so only authorized privileged users can create and modify XDG autostart entries.

IDM1033НазваниеОграничение установки программного обеспеченияОписание

Restrict software installation to trusted repositories only and be cautious of orphaned software packages.