Systemctl
Systemctlتوضیحات
مهاجمان از systemctl در لینوکس برای مدیریت و اجرای سرویسهای systemd سوءاستفاده میکنند. systemctl ابزار خط فرمان اصلی برای کنترل systemd است. مهاجمان میتوانند از systemctl برای فعالسازی، شروع یا ایجاد سرویسهای مخرب استفاده کنند.
روشهای شناسایی
نظارت بر استفاده از systemctl. بررسی سرویسهای systemd جدید. شناسایی سرویسهای با دستورات مشکوک. تحلیل لاگهای systemd.
روشهای مقابله
محدود کردن دسترسی به systemctl. نظارت بر تغییرات سرویسهای systemd. استفاده از auditd. بررسی منظم سرویسهای systemd. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
سرویسهای سیستمی
مهاجمان از سرویسها یا daemonهای سیستمی برای اجرای دستورات یا برنامهها سوءاستفاده میکنند. سرویسها اغلب در هنگام بوت سیستم برای پایداری اجرا میشوند، اما میتوانند برای اجرای موقت نیز استفاده شوند. این تکنیک در پلتفرمهای ویندوز، لینوکس و macOS قابل اجرا است.
سایر زیرتکنیکها (2)