T1547.013: Записи автозапуска XDG
Злоумышленники могут добавлять или изменять записи автозапуска XDG для выполнения вредоносных программ или команд во время загрузки среды рабочего стола пользователя при его входе в систему. Записи автозапуска XDG доступны в любой Linux-системе с поддержкой XDG. Записи автозапуска XDG используют ярлыки рабочего стола (.desktop
) для настройки среды рабочего стола пользователя при его входе в систему. Эти конфигурационные файлы определяют приложения, которые запускаются при входе пользователя в систему, используются для открытия файлов определенных типов и открывают съемные носители.
Злоумышленники могут использовать эту функцию для закрепления в системе, добавив путь к вредоносному бинарному файлу или команде в директиву Exec
в конфигурационном файле .desktop
. Когда при входе пользователя в систему загружается среда его рабочего стола, автоматически выполняются файлы .desktop
, расположенные в каталогах автозапуска XDG. Общесистемные записи автозапуска находятся в каталоге /etc/xdg/autostart
, а пользовательские — в каталоге \~/.config/autostart
.
Злоумышленники могут использовать эту технику совместно с маскировкой вредоносных записей автозапуска под легитимные программы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_persistence: PT-CR-1666: Unix_Autostart_Modify: Изменение файла автозапуска XDG
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Для обнаружения вредоносных записей автозапуска XDG можно провести аудит событий изменения файлов в каталогах |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Для обнаружения вредоносных записей автозапуска XDG можно провести аудит событий создания файлов в каталогах |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для модификации записи автозапуска XDG с целью выполнения программ или команд во время загрузки системы. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут модифицировать записи автозапуска XDG с целью выполнения программ или команд во время загрузки системы. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте права пользователей таким образом, чтобы только авторизованные привилегированные пользователи могли создавать и изменять записи автозапуска XDG. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Ограничьте доступ к записям автозапуска XDG только для избранных привилегированных пользователей. |
---|
ID | M1033 | Название | Ограничение установки программного обеспечения | Описание | Настройте установку ПО только из доверенных репозиториев и отслеживайте появление неиспользуемых пакетов. |
---|