T1037: СКРИПТИ ІНІЦІАЛІЗАЦІЇ ЗАВАНТАЖЕННЯ АБО ВХОДУ
Зловмисники використовують скрипти, які автоматично виконуються під час старту системи або входу користувача, для встановлення стійкості. Ці скрипти (Logon Scripts) часто призначені для налаштування робочого середовища (підключення мережевих дисків, принтерів). Хакери впроваджують у них власні команди, що дозволяє шкідливому коду виконуватися щоразу, коли користувач починає роботу. Оскільки деякі скрипти працюють із високими привілеями, це також шлях до підвищення прав.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть використовувати скрипти, що автоматично виконуються під час ініціалізації завантаження або входу, для встановлення стійкості (Persistence). Скрипти ініціалізації можуть використовуватися для виконання адміністративних функцій, які часто запускають інші програми або надсилають інформацію на внутрішній сервер логування. Ці скрипти можуть відрізнятися залежно від операційної системи та того, чи застосовуються вони локально, чи віддалено.
Зловмисники можуть використовувати ці скрипти для підтримки стійкості на одній системі. Залежно від конфігурації доступу до скриптів входу, можуть знадобитися або локальні облікові дані, або обліковий запис адміністратора.
Зловмисник також може отримати можливість підвищити свої привілеї (Privilege Escalation), оскільки деякі скрипти ініціалізації завантаження або входу виконуються з підвищеними правами.
Як це працює на практиці?
- Локальні скрипти (Windows): Зловмисник модифікує шлях до скрипта входу в реєстрі за адресою HKEY_CURRENT_USER\Environment\UserInitMprLogonScript. Цей скрипт виконається раніше, ніж завантажиться робочий стіл користувача.
- Групові політики (GPO): Найбільш небезпечний варіант. Якщо зловмисник має права редагування GPO, він може прописати шкідливий скрипт для цілого департаменту або всієї компанії.
- Unix RC Scripts (Linux): Модифікація файлів у /etc/rc.local або /etc/init.d/. Ці скрипти запускаються від імені root під час завантаження системи, надаючи зловмиснику повний контроль над сервером.
Чому це ефективно?
- Легітимність: Скрипти входу — це звичайна практика для системних адміністраторів. Системи захисту часто ігнорують їх виконання.
- Масштабованість: Одна зміна в Active Directory — і під контролем зловмисника опиняється вся мережа.
- Прихованість: Скрипти можуть завантажувати шкідливе навантаження безпосередньо в пам’ять (Fileless), не залишаючи слідів на жорсткому диску жертви.
Як захиститися?
- Аудит GPO: Регулярно перевіряйте об’єкти групових політик на предмет невідомих скриптів.
- Обмеження прав: Користувачі не повинні мати прав на зміну власних скриптів входу або папок, де вони зберігаються (зазвичай це папка NETLOGON на контролері домену).
- Моніторинг процесів: Відстежуйте запуск powershell.exe або cmd.exe, батьківським процесом яких є userinit.exe або gpscript.exe.
- Перевірка реєстру: Моніторте зміни в ключі UserInitMprLogonScript.