Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут настроить параметры системы на автоматическое выполнение программы при загрузке системы или входе в систему, чтобы сохранить устойчивость или получить привилегии более высокого уровня на скомпрометированных системах. Операционные системы могут иметь механизмы автоматического запуска программы при загрузке системы или входе в учетную запись.(Цитата: Microsoft Run Key)(Цитата: MSDN Authentication Packages)(Цитата: Microsoft TimeProvider)(Цитата: Cylance Reg Persistence Sept 2013)(Цитата: Linux Kernel Programming) Эти механизмы могут включать автоматическое выполнение программ, которые размещены в специально отведенных каталогах или на которые ссылаются репозитории, хранящие информацию о конфигурации, например реестр Windows. Злоумышленник может достичь той же цели, изменив или расширив функции ядра.
Поскольку некоторые программы автозагрузки или входа в систему запускаются с повышенными привилегиями, злоумышленник может использовать их для повышения привилегий.
https://attack.mitre.org/techniques/T1547
Визуализация смежных техник для T1547
| № | Техника |
|---|
