T1547

اجرای خودکار در بوت یا ورود

Boot or Logon Autostart Execution

توضیحات

مهاجمان برنامه‌ها یا دستوراتی را پیکربندی می‌کنند که به طور خودکار در هنگام بوت سیستم یا ورود کاربر اجرا می‌شوند. این تکنیک برای ایجاد پایداری استفاده می‌شود تا کد مخرب پس از راه‌اندازی مجدد سیستم نیز اجرا شود. روش‌های متعددی در ویندوز، لینوکس و macOS برای این منظور وجود دارد.

زیرتکنیک‌ها (5)

شناسهنام

T1547.001

کلیدهای Run رجیستری / پوشه StartupRegistry Run Keys / Startup Folder

مهاجمان کلیدهای Run رجیستری یا پوشه Startup ویندوز را تغییر می‌دهند تا برنامه‌های مخرب در هنگام ورود کاربر اجرا شوند. کلیدهای رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run و HKLM\Software\Microsoft\Windows\CurrentVersion\Run اهداف رایج هستند.

T1547.004

DLL کمکی WinlogonWinlogon Helper DLL

مهاجمان رجیستری Winlogon را تغییر می‌دهند تا DLL‌های مخرب را در هنگام ورود کاربر بارگذاری کنند. Winlogon فرآیند ویندوز مسئول مدیریت ورود و خروج کاربر است. مهاجمان می‌توانند مقادیر Userinit یا Shell را در رجیستری Winlogon تغییر دهند.

T1547.006

ماژول‌های هسته و افزونه‌هاKernel Modules and Extensions

مهاجمان ماژول‌های هسته مخرب (rootkit) را در سیستم‌های لینوکس و macOS بارگذاری می‌کنند تا پایداری ایجاد کنند و فعالیت‌های خود را پنهان کنند. ماژول‌های هسته با سطح دسترسی بالاترین اجرا می‌شوند و می‌توانند سیستم‌عامل را تغییر دهند.

T1547.009

تغییر میانبرShortcut Modification

مهاجمان فایل‌های میانبر (.lnk) را تغییر می‌دهند تا کد مخرب را در هنگام اجرای میانبر اجرا کنند. میانبرهای موجود در Desktop، Startup و سایر مکان‌ها می‌توانند برای اجرای payload مخرب در کنار برنامه اصلی تغییر داده شوند.

T1547.015

آیتم‌های ورودLogin Items

مهاجمان Login Items در macOS را اضافه یا تغییر می‌دهند تا برنامه‌های مخرب در هنگام ورود کاربر اجرا شوند. Login Items در System Preferences > Users & Groups قابل مشاهده هستند. مهاجمان می‌توانند از AppleScript یا SMLoginItemSetEnabled API برای اضافه کردن Login Items استفاده کنند.

روش‌های شناسایی

نظارت بر تغییرات در کلیدهای رجیستری Run. بررسی فایل‌های Startup. شناسایی ورودی‌های جدید در مکان‌های autostart. تحلیل تغییرات در پیکربندی بوت.

روش‌های مقابله

نظارت بر مکان‌های autostart. محدود کردن دسترسی به رجیستری. استفاده از Application Whitelisting. بررسی منظم ورودی‌های autostart. پیاده‌سازی Secure Boot.

گروه‌های تهدید (3)

شناسهنام گروه

G0016

APT29 — Cozy Bear

APT29 یک گروه تهدید پیشرفته مرتبط با سرویس اطلاعات خارجی روسیه (SVR) است. این گروه از سال ۲۰۰۸ فعال بوده و به حملات پیچیده علیه دولت‌ها، سازمان‌های دیپلماتیک، اندیشکده‌ها و ارائه‌دهندگان فناوری در سراسر جهان شناخته می‌شود. این گروه در حمله زنجیره تأمین SolarWinds در سال ۲۰۲۰ نقش داشته است.

نام‌های دیگر: خرس آرام، The Dukes، Midnight Blizzard

G0007

APT28 — Fancy Bear

APT28 یک گروه تهدید پیشرفته مرتبط با اطلاعات نظامی روسیه (GRU) است. این گروه از سال ۲۰۰۴ فعال بوده و به حملات علیه سازمان‌های سیاسی، نظامی، رسانه‌ای و سازمان‌های بین‌المللی شناخته می‌شود. دخالت در انتخابات ریاست‌جمهوری آمریکا در ۲۰۱۶ از مشهورترین عملیات این گروه است.

نام‌های دیگر: خرس تزئینی، Sofacy، Pawn Storm

G0096

APT41 — Double Dragon

APT41 یک گروه تهدید پیشرفته مرتبط با چین است که هم به انگیزه جاسوسی دولتی و هم به انگیزه مالی عمل می‌کند. این گروه از سال ۲۰۱۲ فعال بوده و صنایع بهداشت، فناوری، مخالیکاسیون و بازی‌های ویدیویی را هدف قرار داده است.

نام‌های دیگر: اژدهای دوگانه، Winnti، Barium

نرم‌افزارها و ابزارها (1)

شناسهنام

S001

ابزار کنترل از راه دور آرش

بدافزار کنترل از راه دور (RAT)

ابزار سفارشی برای کنترل کامل میزبان آلوده شامل Keylogging، ضبط صفحه و انتقال فایل.