T1037.001
اسکریپت ورود (ویندوز)
Logon Script (Windows)توضیحات
مهاجمان اسکریپتهای ورود ویندوز را تغییر میدهند تا کد مخرب را در هنگام ورود کاربر اجرا کنند. اسکریپتهای ورود میتوانند از طریق Group Policy یا رجیستری پیکربندی شوند. این اسکریپتها با سطح دسترسی کاربر اجرا میشوند.
روشهای شناسایی
نظارت بر تغییرات اسکریپتهای ورود. بررسی Group Policy برای اسکریپتهای ورود. شناسایی اسکریپتهای مشکوک. تحلیل لاگهای Group Policy.
روشهای مقابله
نظارت بر اسکریپتهای ورود. محدود کردن دسترسی به تغییر Group Policy. بررسی منظم اسکریپتهای ورود. استفاده از امضای دیجیتال برای اسکریپتها.
تکنیک اصلی
T1037Boot or Logon Initialization Scripts
اسکریپتهای مقداردهی اولیه بوت یا ورود
مهاجمان از اسکریپتهایی که به طور خودکار در هنگام بوت سیستم یا ورود کاربر اجرا میشوند برای ایجاد پایداری استفاده میکنند. این اسکریپتها میتوانند برای اجرای کد مخرب، تغییر پیکربندی سیستم و ایجاد backdoor استفاده شوند.
سایر زیرتکنیکها (2)