Техники: T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017
Вредоносные программы могут сохранять свою устойчивость за счет выполнения вредоносного содержимого, запускаемого с помощью правил udev. Udev - это менеджер устройств ядра Linux, который динамически управляет узлами устройств, обрабатывает доступ к файлам псевдоустройств в каталоге `/dev` и реагирует на аппаратные события, например, когда внешние устройства, такие как жесткие диски или клавиатуры, подключаются или извлекаются. Udev использует файлы правил с ключами `match` для указания условий, которым должно удовлетворять аппаратное событие, и ключами `action` для определения последующих действий. Для создания, изменения или удаления файлов правил, расположенных в каталогах `/etc/udev/rules.d/`, `/run/udev/rules.d/`, `/usr/lib/udev/rules.d/`, `/usr/local/lib/udev/rules.d/` и `/lib/udev/rules.d/`, необходимы права Root. Приоритет правил определяется как каталогом, так и цифровым префиксом в имени файла правила.(Цитата: Ignacio Udev research 2024)(Цитата: Elastic Linux Persistence 2024)
Злоумышленники могут злоупотреблять подсистемой udev, добавляя или изменяя правила в файлах правил udev для выполнения вредоносного содержимого. Например, злоумышленник может настроить правило на выполнение своего двоичного файла каждый раз, когда приложение обращается к файлу псевдоустройства, например `/dev/random`. Хотя udev ограничен выполнением коротких задач и ограничен «песочницей» systemd-udevd (блокирующей доступ к сети и файловой системе), злоумышленники могут использовать скриптовые команды под клавишей действия `RUN+=` для отсоединения и запуска процесса вредоносного содержимого в фоновом режиме, чтобы обойти эти средства контроля.(Цитата: Reichert aon sedexp 2024)
https://attack.mitre.org/techniques/T1546/017
Визуализация смежных техник для T1546.017
| № | Техника |
|---|
