MITRE ATT&CK - Техника Сценарий входа в систему (Windows)

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Boot or Logon Initialization Scripts: Сценарий входа в систему (Windows)

Other sub-techniques of Boot or Logon Initialization Scripts (5)

ID	Название
.001	Сценарий входа в систему (Windows)
.002	Сценарий входа в систему (Mac)
.003	Сценарий входа в сеть
.004	Скрипты RC
.005	Элементы автозагрузки

Adversaries may use Windows logon scripts automatically executed at logon initialization to establish persistence. Windows allows logon scripts to be run whenever a specific user or group of users log into a system.(Citation: TechNet Logon Scripts) This is done via adding a path to a script to the HKCU\Environment\UserInitMprLogonScript Registry key.(Citation: Hexacorn Logon Scripts) Adversaries may use these scripts to maintain persistence on a single system. Depending on the access configuration of the logon scripts, either local credentials or an administrator account may be necessary.

ID: T1037.001

Относится к технике: T1037

Тактика(-и): Persistence, Privilege Escalation

Платформы: Windows

Источники данных: Command: Command Execution, Process: Process Creation, Windows Registry: Windows Registry Key Creation

Версия: 1.0

Дата создания: 10 Jan 2020

Последнее изменение: 24 Mar 2020

Название	Описание
Примеры процедур
APT28	An APT28 loader Trojan adds the Registry key `HKCU\Environment\UserInitMprLogonScript` to establish persistence.(Citation: Unit 42 Playbook Dec 2017)
Attor	Attor's dispatcher can establish persistence via adding a Registry key with a logon script `HKEY_CURRENT_USER\Environment "UserInitMprLogonScript"` .(Citation: ESET Attor Oct 2019)
JHUHUGIT	JHUHUGIT has registered a Windows shell script under the Registry key `HKCU\Environment\UserInitMprLogonScript` to establish persistence.(Citation: ESET Sednit Part 1)(Citation: Talos Seduploader Oct 2017)
KGH_SPY	KGH_SPY has the ability to set the `HKCU\Environment\UserInitMprLogonScript` Registry key to execute logon scripts.(Citation: Cybereason Kimsuky November 2020)
Zebrocy	Zebrocy performs persistence with a logon script via adding to the Registry key `HKCU\Environment\UserInitMprLogonScript`.(Citation: ESET Zebrocy Nov 2018)
Cobalt Group	Cobalt Group has added persistence by registering the file name for the next stage malware under `HKCU\Environment\UserInitMprLogonScript`.(Citation: Morphisec Cobalt Gang Oct 2018)

Контрмера	Описание
Контрмеры
Restrict Registry Permissions	Restrict the ability to modify certain hives or keys in the Windows Registry.

Обнаружение

Monitor for changes to Registry values associated with Windows logon scrips, nameley HKCU\Environment\UserInitMprLogonScript. Monitor running process for actions that could be indicative of abnormal programs or executables running upon logon.

Ссылки

Связанные риски

Риск	Связи
Закрепление злоумышленника в ОС из-за возможности помещения скрипта в автозагрузку через Windows logon scripts в ОС Windows Повышение привилегий НСД

Каталоги

Техники ATT&CK:

T1037 Boot or Logon Initialization Scripts

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.