Закрепление в системе (persistence) — тактика злоумышленников, которая заключается в сохранении доступа к скомпрометированной системе в течение длительного времени. Закрепившись в системе, злоумышленники могут восстановить (в том числе автоматически) доступ к ней после событий, которые обычно прерывают выполнение вредоносных программ и/или активность скомпрометированного аккаунта: например, перезагрузки устройства, смены пароля, выхода из системы или установки обновлений.
В матрице MITRE ATT&CK тактика «закрепление в системе» обозначена как TA0003.
Цели закрепления в системе
Злоумышленники могут закрепляться в системе, чтобы иметь возможность следить за жертвой, красть ее данные и деньги или использовать ее устройство в своих целях в течение продолжительного времени. Также они могут продавать доступы к отдельным скомпрометированным устройствам или целым ботнетам.
Методы закрепления в системе
Для закрепления злоумышленники часто используют легитимные механизмы операционных систем, предназначенные для автозапуска программ и служб. Поскольку при этом применяются штатные системные утилиты (например, PowerShell, WMI, Bash или Schtasks), эта активность выглядит как стандартная работа администратора, что затрудняет ее обнаружение.
Ниже перечислены наиболее распространенные методы закрепления.
- Модификация автозапуска и реестра Windows. Атакующие модифицируют определенные ключи реестра или добавляют вредоносные программы в директорию автозапуска, что заставляет систему выполнять их код при каждой загрузке.
- Модификация планировщика задач (например, Windows Task Scheduler или Cron). Злоумышленники создают запланированные задачи, которые запускают вредоносный код по расписанию (например, каждый час) или при наступлении определенного события (например, простой компьютера).
- Создание или модификация служб. Атакующие создают новую системную службу или изменяют существующую легитимную так, чтобы она с высокими привилегиями запускала вредоносный файл на ранних этапах загрузки ОС.
- Манипуляции с учетными записями. Злоумышленники изменяют существующие аккаунты (например, повышают привилегии пользовательских аккаунтов или сбрасывают пароли административных), а также создают новые скрытые административные учетные записи. Этот прием позволяет атакующим входить в систему через штатные механизмы удаленного доступа (например, RDP или SSH), не полагаясь на уязвимости ПО.
- Использование буткитов. Атакующие заражают загрузочный сектор диска или прошивку UEFI скомпрометированного устройства для запуска вредоносного кода еще до загрузки операционной системы.