Техники: T1037 , T1037.001 , T1037.002 , T1037.003 , T1037.004 , T1037.005
Злоумышленники могут установить постоянство путем модификации RC-скриптов, которые выполняются при запуске Unix-подобной системы. Эти файлы позволяют системным администраторам назначать и запускать пользовательские службы при запуске для различных уровней выполнения. Для изменения RC-скриптов требуются привилегии root.
Злоумышленники могут установить постоянство, добавив вредоносный двоичный путь или команды оболочки в rc.local, rc.common и другие RC-скрипты, специфичные для Unix-подобного дистрибутива.(Цитата: IranThreats Kittens Dec 2017)(Цитата: Intezer HiddenWasp Map 2019) После перезагрузки система выполняет содержимое скрипта от имени root, что приводит к сохранению постоянства.
Злоупотребление злоумышленниками RC-скриптами особенно эффективно для легких Unix-подобных дистрибутивов, использующих пользователя root по умолчанию, таких как IoT или встраиваемые системы.(Цитата: intezer-kaiji-malware)
Несколько Unix-подобных систем перешли на Systemd и отказались от использования RC-скриптов. В macOS этот механизм уже устарел в пользу Launchd.(Цитата: Apple Developer Doco Archive Launchd) (Цитата: Startup Items) Эта техника может использоваться в Mac OS X Panther v10.3 и более ранних версиях, которые все еще выполняют RC-скрипты. (Цитата: Methods of Mac Malware Persistence) Для поддержания обратной совместимости некоторые системы, такие как Ubuntu, будут выполнять RC-скрипты, если они существуют с правильными правами на файл. (Цитата: Ubuntu Manpage systemd rc)
https://attack.mitre.org/techniques/T1037/004
Визуализация смежных техник для T1037.004
| № | Техника |
|---|
