Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Техника Записи автозапуска XDG
Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
EN
Риски
Каталоги
MITRE ATT&CK
Техника
Записи автозапуска XDG
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Boot or Logon Autostart Execution:  Записи автозапуска XDG

ID Название
.001 Ключи запуска в реестре / Папка автозагрузки
.002 Пакет аутентификации
.003 Поставщики времени
.004 DLL-библиотеки загружаемые с помощью Winlogon
.005 Поставщик поддержки безопасности (SSP)
.006 Модули и расширения ядра
.007 Перезапуск приложений
.008 Драйвер LSASS
.009 Изменение ярлыков
.010 Мониторы портов
.011 Plist Modification
.012 Обработчики печати
.013 Записи автозапуска XDG
.014 Активная установка
.015 Элементы входа в систему

Adversaries may add or modify XDG Autostart Entries to execute malicious programs or commands when a user’s desktop environment is loaded at login. XDG Autostart entries are available for any XDG-compliant Linux system. XDG Autostart entries use Desktop Entry files (`.desktop`) to configure the user’s desktop environment upon user login. These configuration files determine what applications launch upon user login, define associated applications to open specific file types, and define applications used to open removable media.(Citation: Free Desktop Application Autostart Feb 2006)(Citation: Free Desktop Entry Keys) Adversaries may abuse this feature to establish persistence by adding a path to a malicious binary or command to the `Exec` directive in the `.desktop` configuration file. When the user’s desktop environment is loaded at user login, the `.desktop` files located in the XDG Autostart directories are automatically executed. System-wide Autostart entries are located in the `/etc/xdg/autostart` directory while the user entries are located in the `~/.config/autostart` directory. Adversaries may combine this technique with Masquerading to blend malicious Autostart entries with legitimate programs.(Citation: Red Canary Netwire Linux 2022)

ID: T1547.013
Относится к технике:  T1547
Тактика(-и): Persistence, Privilege Escalation
Платформы: Linux
Требуемые разрешения: root, User
Источники данных: Command: Command Execution, File: File Creation, File: File Modification, Process: Process Creation
Версия: 1.1
Дата создания: 10 Sep 2019
Последнее изменение: 16 Oct 2023

Примеры процедур
Название Описание
NETWIRE

NETWIRE can use XDG Autostart Entries to establish persistence on Linux systems.(Citation: Red Canary NETWIRE January 2020)
Pupy

Pupy can use an XDG Autostart to establish persistence.(Citation: Red Canary Netwire Linux 2022)
CrossRAT

CrossRAT can use an XDG Autostart to establish persistence.(Citation: Red Canary Netwire Linux 2022)
RotaJakiro

When executing with user-level permissions, RotaJakiro can install persistence using a .desktop file under the `$HOME/.config/autostart/` folder.(Citation: RotaJakiro 2021 netlab360 analysis)
Fysbis

If executing without root privileges, Fysbis adds a `.desktop` configuration file to the user's `~/.config/autostart` directory.(Citation: Red Canary Netwire Linux 2022)(Citation: Fysbis Dr Web Analysis)

Контрмеры
Контрмера Описание
Restrict File and Directory Permissions

Restrict access by setting directory and file permissions that are not specific to users or privileged accounts.
User Account Management

Manage the creation, modification, use, and permissions associated to user accounts.
Limit Software Installation

Block users or groups from installing unapproved software.

Обнаружение

Malicious XDG autostart entries may be detected by auditing file creation and modification events within the /etc/xdg/autostart and ~/.config/autostart directories. Depending on individual configurations, defenders may need to query the environment variables $XDG_CONFIG_HOME or $XDG_CONFIG_DIRS to determine the paths of Autostart entries. Autostart entry files not associated with legitimate packages may be considered suspicious. Suspicious entries can also be identified by comparing entries to a trusted system baseline. Suspicious processes or scripts spawned in this manner will have a parent process of the desktop component implementing the XDG specification and will execute as the logged on user.

Ссылки

  1. TONY LAMBERT. (2022, June 7). Trapping the Netwire RAT on Linux. Retrieved September 28, 2023.
  2. Free Desktop. (2017, December 24). Recognized Desktop Entry Keys. Retrieved September 12, 2019.
  3. Free Desktop. (2006, February 13). Desktop Application Autostart Specification. Retrieved September 12, 2019.
  4. Lambert, T. (2020, January 29). Intro to Netwire. Retrieved January 7, 2021.
  5. Alex Turing, Hui Wang. (2021, April 28). RotaJakiro: A long live secret backdoor with 0 VT detection. Retrieved June 14, 2023.
  6. Doctor Web. (2014, November 21). Linux.BackDoor.Fysbis.1. Retrieved December 7, 2017.
Навигация

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.