Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1053.002 - At

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1053 , T1053.002 , T1053.003 , T1053.005 , T1053.006 , T1053.007

Злоумышленники могут использовать утилиту at для планирования задач с целью первоначального или периодического выполнения вредоносного кода. Утилита at существует как исполняемый файл в Windows, Linux и macOS для планирования задач на определенное время и дату. Несмотря на то, что в средах Windows утилита at устарела в пользу schtasks из Scheduled Task, для ее использования необходимо, чтобы была запущена служба Task Scheduler, а пользователь входил в систему как член локальной группы Administrators. Помимо явного выполнения команды `at`, злоумышленники также могут запланировать задачу с помощью at, напрямую используя WMI-класс Windows Management Instrumentation `Win32_ScheduledJob`.(Цитата: Malicious Life by Cybereason)

В Linux и macOS, at может быть вызван суперпользователем, а также любыми пользователями, добавленными в файл at.allow. Если файл at.allow не существует, проверяется файл at.deny. Каждому имени пользователя, не указанному в at.deny, разрешается вызывать at. Если файл at.deny существует и пуст, глобальное использование at разрешено. Если ни один из файлов не существует (что часто бывает в базовых условиях), только суперпользователю разрешено использовать at.(Цитата: Linux at)

Злоумышленники могут использовать at для выполнения программ при запуске системы или по расписанию для Persistence. at также может использоваться для удаленного Execution в рамках Lateral Movement и/или для запуска процесса в контексте определенной учетной записи (например, SYSTEM).

В среде Linux злоумышленники также могут использовать at для выхода из ограниченного окружения, используя задачу для запуска интерактивной оболочки системы или для выполнения системных команд. Аналогично, at может быть использован для Повышения привилегий, если двоичному файлу разрешено запускаться от имени суперпользователя через sudo.(Цитата: GTFObins at)

https://attack.mitre.org/techniques/T1053/002

← Назад

Визуализация смежных техник для T1053.002

Отрасль:
 с подтехниками
Техника

Закрыть