Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут добавлять или модифицировать записи автозапуска XDG для выполнения вредоносных программ или команд при загрузке окружения рабочего стола пользователя при входе в систему. Записи автозапуска XDG доступны для любой XDG-совместимой системы Linux. Записи XDG Autostart используют файлы Desktop Entry (`.desktop`) для настройки окружения рабочего стола пользователя при входе в систему.Эти файлы конфигурации определяют, какие приложения запускаются при входе пользователя в систему, определяют связанные приложения для открытия определенных типов файлов и определяют приложения, используемые для открытия съемных носителей.(Цитата: Free Desktop Application Autostart Feb 2006)(Цитата: Free Desktop Entry Keys)
Злоумышленники могут злоупотреблять этой функцией, чтобы установить постоянство, добавляя путь к вредоносному двоичному файлу или команде в директиву `Exec` в файле конфигурации `.desktop`. Когда окружение рабочего стола пользователя загружается при входе в систему, автоматически выполняются файлы `.desktop`, расположенные в каталогах автозапуска XDG. Общесистемные записи автозапуска находятся в каталоге `/etc/xdg/autostart`, а пользовательские записи - в каталоге `~/.config/autostart`.
Злоумышленники могут комбинировать эту технику с Masquerading, чтобы подмешать вредоносные записи автозапуска к легитимным программам.(Цитата: Red Canary Netwire Linux 2022)
https://attack.mitre.org/techniques/T1547/013
Визуализация смежных техник для T1547.013
| № | Техника |
|---|
