Карточка уязвимости

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Создание или изменение системного процесса: служба Systemd

Злоумышленники могут создавать или изменять службы systemd для многократного выполнения вредоносного кода для закрепления в инфраструктуре. Диспетчер служб systemd обычно используется для управления демонами (также известными как службы) и другими системными ресурсами.

Systemd использует конфигурационные файлы для управления загрузкой служб и их условиями. По умолчанию эти единичные файлы хранятся в каталогах

 /etc/systemd/system
 /usr/lib/systemd/system

и имеют расширение файла .service.
Для создания/изменения файлов сервисных единиц в данных каталогах требуют привилегий суперпользователя.

Для закрепления в системе с правами пользователя злоумышленники могут создавать/изменять файлы сервисных единиц в каталогах:

 ~/.config/systemd/user/

Каталоги

Техники ATT@CK:

T1543.002 Create or Modify System Process: Systemd Service

Связанные риски

Риск	Связи
Закрепление злоумышленника в ОС из-за создания или изменение системного процесса: служба Systemd в ОС Linux Повышение привилегий НСД	1
Повышение привилегий в ОС из-за создания или изменение системного процесса: служба Systemd в ОС Linux Повышение привилегий Целостность	1