Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1543 , T1543.001 , T1543.002 , T1543.003 , T1543.004 , T1543.005
Злоумышленники могут создавать или модифицировать процессы системного уровня для многократного выполнения вредоносной полезной нагрузки в рамках персистенции. Когда операционные системы загружаются, они могут запускать процессы, выполняющие фоновые системные функции.В Windows и Linux эти системные процессы называются службами.(Цитата: TechNet Services) В macOS процессы launchd, известные как Launch Daemon и Launch Agent, запускаются для завершения инициализации системы и загрузки специфических для пользователя параметров.(Цитата: AppleDocs Launch Agent Daemons)
Злоумышленники могут устанавливать новые службы, демоны или агенты, которые могут быть настроены на выполнение при запуске или через повторяющийся интервал времени, чтобы установить постоянство. Аналогичным образом злоумышленники могут модифицировать существующие службы, демоны или агенты для достижения того же эффекта.
Службы, демоны или агенты могут быть созданы с правами администратора, но выполняться под правами root/SYSTEM.Злоумышленники могут использовать эту функциональность для создания или модификации системных процессов с целью повышения привилегий.(Цитата: OSX Malware Detection)
https://attack.mitre.org/techniques/T1543
Визуализация смежных техник для T1543
| № | Техника |
|---|
