T1543.002
سرویس Systemd
Systemd Serviceتوضیحات
مهاجمان فایلهای سرویس systemd را در لینوکس ایجاد یا تغییر میدهند تا payloadهای مخرب را در هنگام بوت سیستم اجرا کنند. فایلهای سرویس systemd در /etc/systemd/system/ و /lib/systemd/system/ قرار دارند.
روشهای شناسایی
نظارت بر ایجاد فایلهای سرویس systemd جدید. بررسی سرویسهای systemd با دستورات مشکوک. شناسایی تغییرات در سرویسهای موجود. تحلیل لاگهای systemd.
روشهای مقابله
نظارت بر سرویسهای systemd. بررسی منظم فایلهای سرویس. محدود کردن دسترسی به ایجاد سرویس. استفاده از auditd. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
T1543Create or Modify System Process
ایجاد یا تغییر فرآیند سیستمی
مهاجمان فرآیندهای سطح سیستم را ایجاد یا تغییر میدهند تا کد مخرب را به طور مکرر اجرا کنند. سرویسهای ویندوز، daemonهای لینوکس و Launch Agent/Daemonهای macOS میتوانند برای اجرای payloadهای مخرب با سطح دسترسی بالا پیکربندی شوند.
سایر زیرتکنیکها (3)