Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017
Злоумышленники могут установить постоянство путем выполнения вредоносных команд, запускаемых оболочкой пользователя. Пользователь Unix Shellвыполняет несколько конфигурационных сценариев в разные моменты сессии, основываясь на событиях. Например, когда пользователь открывает интерфейс командной строки или удаленно входит в систему (например, через SSH), запускается оболочка входа в систему. Оболочка входа в систему выполняет сценарии из системного (/etc) и домашнего каталога пользователя (~/) для настройки среды. Все оболочки входа в систему при запуске используют /etc/profile. Эти конфигурационные скрипты выполняются на уровне прав своего каталога и часто используются для установки переменных окружения, создания псевдонимов и настройки пользовательского окружения. Когда оболочка выходит или завершается, выполняются дополнительные сценарии оболочки, чтобы обеспечить ее надлежащий выход.
Злоумышленники могут попытаться установить постоянство, вставляя команды в сценарии, автоматически выполняемые оболочкой. На примере bash, оболочки по умолчанию для большинства систем GNU/Linux, злоумышленники могут добавить команды, запускающие вредоносные двоичные файлы, в файлы /etc/profile и /etc/profile.d.(Цитата: intezer-kaiji-malware)(Цитата: bencane blog bashrc) Эти файлы обычно требуют прав root для изменения и выполняются каждый раз при запуске любой оболочки в системе. Для прав пользовательского уровня злоумышленники могут вставлять вредоносные команды в ~/.bash_profile, ~/.bash_login или ~/.profile, которые запускаются, когда пользователь открывает интерфейс командной строки или подключается удаленно.(Цитата: anomali-rocke-tactics)(Цитата: Linux manual bash invocation) Поскольку система выполняет только первый существующий файл в указанном порядке, злоумышленники использовали ~/.bash_profile для обеспечения выполнения. Злоумышленники также использовали файл ~/.bashrc, который дополнительно выполняется, если соединение установлено удаленно или открыта дополнительная интерактивная оболочка, например новая вкладка в интерфейсе командной строки.(Цитата: Tsunami)(Цитата: anomali-rocke-tactics)(Цитата: anomali-linux-rabbit)(Цитата: Magento) Некоторые вредоносные программы нацелены на завершение программы, чтобы инициировать ее выполнение, злоумышленники могут использовать файл ~/.bash_logout для выполнения вредоносных команд в конце сеанса.
В macOS эта техника работает аналогично, но может использовать zsh, оболочку по умолчанию для macOS 10.15+. Когда открывается Terminal.app, приложение запускает оболочку входа в систему zsh и интерактивную оболочку zsh. Оболочка входа в систему настраивает системное окружение с помощью /etc/profile, /etc/zshenv, /etc/zprofile и /etc/zlogin.(Цитата: ScriptingOSX zsh)(Цитата: PersistentJXA_leopitt)(Цитата: code_persistence_zsh)(Цитата: macOS MS office sandbox escape) Оболочка входа в систему затем настраивает пользовательское окружение с помощью ~/.zprofile и ~/.zlogin. Интерактивная оболочка использует ~/.zshrc для настройки пользовательского окружения. При выходе выполняются /etc/zlogout и ~/.zlogout.Для устаревших программ macOS выполняет /etc/bashrc при запуске.
https://attack.mitre.org/techniques/T1546/004
Визуализация смежных техник для T1546.004
| № | Техника |
|---|
