ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1037

术语表: /attack/glossary

Logon Scripts

Windows

Windows 允许特定用户或用户组登录系统时运行登录脚本。 脚本可用于执行管理功能,这些功能通常需要执行其他程序或将信息发送到内部日志记录服务器。

如果攻击者有权限访问这些脚本,他们可以在登录脚本中插入其他代码,以便在用户登录时执行他们的工具。如果该脚本是本地的,这段代码可以让他们在单个系统上实现长久控制。如果脚本存储在中央服务器上并被推送到许多系统,那么这样做可以帮助攻击者在网络横向移动。访问登录脚本可能需要本地凭据或管理员帐户,这取决于脚本的访问配置。

Mac

只要特定用户登录或退出系统,Mac 就允许以 root 身份运行登录和注销钩子。登录钩子告知 Mac OS X 在用户登录时应执行哪一脚本,与启动项不同的是,登录钩子以 root 身份执行 。但是一次只能执行一个登录钩子。如果攻击者有权限访问这些脚本,他们可以在脚本中插入其他代码,以便在用户登录时执行攻击者的工具。

缓解

保证只有特定管理员具有对登录脚本的写访问权限。 通过缓解凭据访问技术并限制对有效帐户的访问和权限,阻止(攻击者)对管理员帐户的访问。 使用能够审核和/或拦截未知程序的白名单工具(如 AppLocker ),识别并拦截可能通过登录脚本修改执行的潜在恶意软件。

检测

监视登录脚本是否有异常用户或在异常时间的异常访问。 查找由正常管理职责之外的异常帐户添加或修改的文件。