T1037.003
اسکریپت ورود شبکه
Network Logon Scriptتوضیحات
مهاجمان اسکریپتهای ورود شبکه را تغییر میدهند تا کد مخرب را در هنگام ورود کاربران به دامنه اجرا کنند. این اسکریپتها از طریق Active Directory Group Policy توزیع میشوند و در سراسر شبکه اجرا میشوند.
روشهای شناسایی
نظارت بر تغییرات اسکریپتهای ورود شبکه. بررسی SYSVOL برای اسکریپتهای مشکوک. شناسایی تغییرات در Group Policy. تحلیل لاگهای Domain Controller.
روشهای مقابله
نظارت بر اسکریپتهای ورود شبکه. محدود کردن دسترسی به SYSVOL. بررسی منظم اسکریپتهای Group Policy. استفاده از امضای دیجیتال. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
T1037Boot or Logon Initialization Scripts
اسکریپتهای مقداردهی اولیه بوت یا ورود
مهاجمان از اسکریپتهایی که به طور خودکار در هنگام بوت سیستم یا ورود کاربر اجرا میشوند برای ایجاد پایداری استفاده میکنند. این اسکریپتها میتوانند برای اجرای کد مخرب، تغییر پیکربندی سیستم و ایجاد backdoor استفاده شوند.
سایر زیرتکنیکها (2)