Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1053 , T1053.002 , T1053.003 , T1053.005 , T1053.006 , T1053.007
Злоумышленники могут использовать таймеры Systemd для планирования задач с целью первоначального или периодического выполнения вредоносного кода. Таймеры Systemd - это файлы блоков с расширением .timer, которые управляют службами. Таймеры можно настроить на запуск по календарному событию или через определенный промежуток времени относительно начальной точки. Они могут использоваться в качестве альтернативы Cron в средах Linux.(Цитата: archlinux Systemd Timers Aug 2020) Таймеры Systemd могут быть активированы удаленно с помощью утилиты командной строки systemctl, которая работает через SSH.(Цитата: Удаленное управление Systemd)
Каждый файл .timer должен иметь соответствующий файл .service с тем же именем, например, example.timer и example.service. Файлы .service - это файлы подразделений Systemd Service, которыми управляет менеджер систем и служб systemd.(Цитата: Linux man-pages: systemd January 2014) Привилегированные таймеры записываются в /etc/systemd/system/ и /usr/lib/systemd/system, а пользовательского уровня - в ~/.config/systemd/user/.
Злоумышленник может использовать таймеры systemd для выполнения вредоносного кода при запуске системы или по расписанию для сохранения работоспособности.(Цитата: Arch Linux Package Systemd Compromise BleepingComputer 10JUL2018)(Цитата: gist Arch package compromise 10JUL2018)(Цитата: acroread package compromised Arch Linux Mail 8JUL2018) Таймеры, установленные по привилегированным путям, могут использоваться для сохранения работоспособности на уровне корня.Злоумышленники также могут устанавливать таймеры на уровне пользователя для достижения стойкости на уровне пользователя.(Цитата: Falcon Sandbox smp: 28553b3a9d)
https://attack.mitre.org/techniques/T1053/006
Визуализация смежных техник для T1053.006
| № | Техника |
|---|
