T1037.004
اسکریپتهای RC
RC Scriptsتوضیحات
مهاجمان اسکریپتهای RC در سیستمهای یونیکس را تغییر میدهند تا دستورات مخرب را در هنگام بوت سیستم با سطح دسترسی root اجرا کنند. اسکریپتهای RC در /etc/rc.local، /etc/rc.d/ و مکانهای مشابه قرار دارند.
روشهای شناسایی
نظارت بر تغییرات اسکریپتهای RC. بررسی /etc/rc.local و /etc/rc.d/. شناسایی دستورات مشکوک در اسکریپتهای RC. تحلیل لاگهای بوت سیستم.
روشهای مقابله
نظارت بر اسکریپتهای RC. محدود کردن دسترسی به تغییر اسکریپتهای RC. بررسی منظم اسکریپتهای بوت. استفاده از auditd. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
T1037Boot or Logon Initialization Scripts
اسکریپتهای مقداردهی اولیه بوت یا ورود
مهاجمان از اسکریپتهایی که به طور خودکار در هنگام بوت سیستم یا ورود کاربر اجرا میشوند برای ایجاد پایداری استفاده میکنند. این اسکریپتها میتوانند برای اجرای کد مخرب، تغییر پیکربندی سیستم و ایجاد backdoor استفاده شوند.
سایر زیرتکنیکها (2)