Persistence (постоянство), в контексте кибербезопасности и компьютерных атак - это совокупность методов и механизмов, используемых злоумышленником для сохранения долгосрочного, скрытного доступа к скомпрометированной системе или сети после первоначального взлома, несмотря на перезагрузки, смену учетных данных или принятие административных мер безопасности.
Основная цель достижения постоянства - обеспечить постоянное присутствие в целевой среде, превратив разовое проникновение в устойчивый контроль. Это позволяет атакующему продолжить деятельность в удобное для него время: собирать данные, перемещаться по сети, красть конфиденциальную информацию или использовать ресурсы системы для дальнейших атак.
Механизмы достижения постоянства разнообразны и зависят от операционной системы и уровня доступа. Они включают модификацию параметров автозапуска, таких как ключи реестра в Windows или файлы cron и init.d в Linux, внедрение вредоносных библиотек в процессы системы, создание скрытых учетных записей пользователей или служб, а также использование специализированного вредоносного ПО (руткитов), которое маскирует свое присутствие в системе. Более изощренные техники могут затрагивать прошивку аппаратных компонентов или использовать легитимные инструменты администрирования для создания так называемой "живучести без файлов".
Обнаружение и ликвидация этих механизмов требует комплексного подхода, включающего мониторинг целостности системных файлов и конфигураций, анализ логов на предмет аномальной активности, применение принципа минимальных привилегий и использование специализированных средств обнаружения угроз, которые могут выявить скрытые каналы связи и неавторизованные точки автозапуска. Таким образом, техника представляет собой ключевую фазу в жизненном цикле современной сложной атаки, отделяющую простое нарушение периметра от успешного долгосрочного компрометирования.
