T1547: АВТОЗАПУСК ПРИ ЗАВАНТАЖЕННІ АБО ВХОДІ
Зловмисники налаштовують систему так, щоб їхня програма запускалася автоматично під час старту ОС або входу користувача. Для цього використовуються спеціальні папки автозавантаження, ключі реєстру або системні компоненти. Оскільки багато програм автозапуску виконуються від імені адміністратора або системи, ця техніка також дозволяє хакерам підвищити свої привілеї (Privilege Escalation) під час кожного нового сеансу.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть налаштовувати системні параметри для автоматичного виконання програми під час завантаження системи або входу користувача, щоб підтримувати стійкість або отримати привілеї вищого рівня на скомпрометованих системах. Операційні системи мають механізми для автоматичного запуску програми під час завантаження або входу в обліковий запис. Ці механізми можуть включати автоматичне виконання програм, розміщених у спеціально призначених каталогах або вказаних у сховищах конфігураційної інформації, таких як реєстр Windows. Зловмисник може досягти тієї ж мети, модифікуючи або розширюючи функції ядра.
Оскільки деякі програми автозапуску при завантаженні або вході виконуються з підвищеними привілеями, зловмисник може використовувати їх для підвищення власних привілеїв.
Основні механізми автозапуску:
- Ключі реєстру Run (T1547.001): Найпоширеніший метод. Зловмисник додає запис у: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Будь-яка програма в цьому списку запуститься автоматично, щойно користувач увійде в систему.
- Папка автозавантаження: Розміщення шкідливого ярлика або файлу в папці: C:\Users[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- Winlogon Helper DLL (T1547.004): Процес winlogon.exe відповідає за вхід користувача. Зловмисник може прописати свою DLL у ключ реєстру Userinit або Shell. Це дозволяє запустити вірус ще до того, як користувач побачить свій робочий стіл.
- Модулі ядра (T1547.006): У Linux зловмисник може встановити шкідливий модуль ядра (LKM). Це найскладніший вид автозапуску, оскільки він дає повний контроль над залізом і пам’яттю ОС.
Чому це небезпечно?
- Автоматичне відновлення: Навіть якщо антивірус видалить активний процес вірусу з пам’яті, після перезавантаження механізм автозапуску запустить його знову.
- Прихованість: У Windows існують сотні легітимних записів автозапуску (драйвери, оновлення). Шкідливому коду легко «загубитися» серед них.
- Підвищення прав: Якщо зловмисник пропише свій код у гілку реєстру HKEY_LOCAL_MACHINE (HKLM), він може запуститися від імені системи (SYSTEM) ще до входу будь-якого користувача.
Як захиститися?
- Аудит автозапуску: Використовуйте утиліту Autoruns від Sysinternals для повного аналізу всіх точок автозапуску в системі.
- Моніторинг реєстру: Налаштуйте EDR або Sysmon на сповіщення про зміни в ключах Run, RunOnce, Winlogon та Service.
- Заборона запису: Обмежте права звичайних користувачів на запис у папки програм (Program Files) та системні гілки реєстру.
- Аналіз ярликів: Перевіряйте властивості ярликів популярних програм (браузерів, Office) на предмет дописування підозрілих аргументів запуску.