تایمرهای Systemd
Systemd Timersتوضیحات
مهاجمان از تایمرهای systemd در لینوکس برای زمانبندی اجرای کد مخرب استفاده میکنند. فایلهای .timer در systemd میتوانند برای اجرای دستورات در فواصل زمانی منظم استفاده شوند. تایمرهای systemd میتوانند از راه دور از طریق SSH فعال شوند و برای پایداری در سطح سیستم یا کاربر استفاده شوند.
روشهای شناسایی
نظارت بر ایجاد فایلهای .timer جدید. بررسی لاگهای systemd. شناسایی تایمرهای با دستورات مشکوک. تحلیل تایمرهای systemd موجود.
روشهای مقابله
محدود کردن دسترسی به systemd. نظارت بر تغییرات تایمرهای systemd. استفاده از auditd. بررسی منظم تایمرهای systemd. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
وظیفه/کار زمانبندی شده
مهاجمان از قابلیتهای زمانبندی وظایف سیستمعامل برای اجرای کد مخرب در زمانهای مشخص یا با فواصل منظم سوءاستفاده میکنند. این تکنیک میتواند برای اجرا، پایداری و ارتقاء سطح دسترسی استفاده شود. Windows Task Scheduler، cron و سایر ابزارهای زمانبندی اهداف رایج هستند.