Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1543.002 - Служба Systemd

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1543 , T1543.001 , T1543.002 , T1543.003 , T1543.004 , T1543.005

Злоумышленники могут создавать или модифицировать службы systemd для многократного выполнения вредоносной полезной нагрузки в рамках персистентности. Systemd - это менеджер систем и служб, обычно используемый для управления фоновыми процессами демонов (также известных как службы) и другими системными ресурсами.(Цитата: Linux man-pages: systemd January 2014) Systemd является системой инициализации (init) по умолчанию во многих дистрибутивах Linux, заменяя устаревшие системы инициализации, включая SysVinit и Upstart, сохраняя при этом обратную совместимость.

Systemd использует файлы конфигурации юнитов с расширением `.service` для кодирования информации о процессе службы. По умолчанию файлы модулей системного уровня хранятся в каталоге `/systemd/system` в корневых каталогах (`/`).Файлы модулей пользовательского уровня хранятся в каталогах `/systemd/user` в каталогах, принадлежащих пользователю (`$HOME`).(Цитата: lambert systemd 2022)

Внутри файлов модулей `.service` для выполнения команд используются следующие директивы:(Цитата: freedesktop systemd.service)

* Директивы `ExecStart`, `ExecStartPre` и `ExecStartPost` выполняются при запуске службы вручную с помощью `systemctl` или при старте системы, если служба настроена на автоматический запуск.
* Директива `ExecReload` выполняется при перезапуске службы.
* Директивы `ExecStop`, `ExecStopPre` и `ExecStopPost` выполняются при остановке службы.

Злоумышленники создают новые файлы служб, изменяют команды, выполняемые директивой файла `.service`, и директивы пользователя, от имени которого выполняется файл `.service`, что может привести к повышению привилегий.Злоумышленники также могут размещать символические ссылки в этих каталогах, что позволяет systemd находить эти полезные нагрузки независимо от их местонахождения в файловой системе.(Цитата: Anomali Rocke March 2019)(Цитата: airwalk backdoor unix systems)(Цитата: Rapid7 Service Persistence 22JUNE2016)

Директива User файла .service может использоваться для запуска службы от имени определенного пользователя, что может привести к повышению привилегий на основе определенных разрешений пользователя/группы.

https://attack.mitre.org/techniques/T1543/002

← Назад

Визуализация смежных техник для T1543.002

Отрасль:
 с подтехниками
Техника

Закрыть