T1037: СКРИПТИ ІНІЦІАЛІЗАЦІЇ ПІД ЧАС ЗАВАНТАЖЕННЯ АБО ВХОДУ

Зловмисники можуть використовувати скрипти, що автоматично виконуються під час ініціалізації завантаження або входу, для встановлення стійкості (Persistence). Скрипти ініціалізації можуть використовуватися для виконання адміністративних функцій, які часто запускають інші програми або надсилають інформацію на внутрішній сервер логів. Ці скрипти можуть відрізнятися залежно від операційної системи та того, чи застосовуються вони локально чи віддалено.

Зловмисники можуть використовувати ці скрипти для підтримки стійкості на одній системі. Залежно від конфігурації доступу до скриптів входу, можуть знадобитися або локальні облікові дані, або обліковий запис адміністратора.

Зловмисник також може мати можливість підвищити свої привілеї (Privilege Escalation), оскільки деякі скрипти ініціалізації завантаження або входу виконуються з вищими привілеями (наприклад, від імені SYSTEM або root).

Ключові вектори атаки:

• Windows Logon Scripts: Модифікація параметра UserInitMprLogonScript у реєстрі користувача. Це дозволяє вказати шлях до будь-якого скрипту, який ОС виконає перед запуском робочого столу.
• Групові політики (GPO): Найнебезпечніший метод у корпоративному середовищі. Один скрипт у політиці домену може заразити тисячі робочих станцій одночасно.
• Linux RC Scripts: Додавання команд у файли /etc/rc.local або створення нових скриптів у /etc/init.d/. Хоча сучасні системи переходять на systemd, багато серверів все ще підтримують старі методи ініціалізації.

Чому це ефективно?

• Довіра: Скрипти входу є частиною нормальної роботи системних адміністраторів.
• Централізація: У випадку з доменом, зловмиснику не потрібно заражати кожен комп’ютер окремо — достатньо змінити один файл на сервері.
• Скритність: Текст скрипту може виглядати як звичайна перевірка оновлень, хоча насправді він завантажує шкідливий код у пам’ять.