اسکریپتهای مقداردهی اولیه بوت یا ورود
Boot or Logon Initialization Scriptsتوضیحات
مهاجمان از اسکریپتهایی که به طور خودکار در هنگام بوت سیستم یا ورود کاربر اجرا میشوند برای ایجاد پایداری استفاده میکنند. این اسکریپتها میتوانند برای اجرای کد مخرب، تغییر پیکربندی سیستم و ایجاد backdoor استفاده شوند.
زیرتکنیکها (3)
مهاجمان اسکریپتهای ورود ویندوز را تغییر میدهند تا کد مخرب را در هنگام ورود کاربر اجرا کنند. اسکریپتهای ورود میتوانند از طریق Group Policy یا رجیستری پیکربندی شوند. این اسکریپتها با سطح دسترسی کاربر اجرا میشوند.
مهاجمان اسکریپتهای ورود شبکه را تغییر میدهند تا کد مخرب را در هنگام ورود کاربران به دامنه اجرا کنند. این اسکریپتها از طریق Active Directory Group Policy توزیع میشوند و در سراسر شبکه اجرا میشوند.
مهاجمان اسکریپتهای RC در سیستمهای یونیکس را تغییر میدهند تا دستورات مخرب را در هنگام بوت سیستم با سطح دسترسی root اجرا کنند. اسکریپتهای RC در /etc/rc.local، /etc/rc.d/ و مکانهای مشابه قرار دارند.
روشهای شناسایی
نظارت بر تغییرات در اسکریپتهای بوت و ورود. بررسی فایلهای logon script. شناسایی اسکریپتهای مشکوک در مکانهای startup. تحلیل محتوای اسکریپتها.
روشهای مقابله
نظارت بر اسکریپتهای بوت و ورود. محدود کردن دسترسی به تغییر اسکریپتها. بررسی منظم اسکریپتهای موجود. استفاده از امضای دیجیتال برای اسکریپتها.