Записи автозапуска XDG в Linux - это файлы конфигурации, которые позволяют приложениям автоматически запускаться при входе пользователя в систему. Эти записи определяют скрипты или программы, которые должны быть выполнены, обеспечивая программному обеспечению, в том числе потенциально вредоносному, постоянство, гарантируя их активацию при каждом входе пользователя в систему, что облегчает постоянный контроль или наблюдение.
Использование злоумышленниками записей автозапуска XDG
Злоумышленники, нацеленные на Linux-системы, могут использовать записи XDG Autostart Entries для достижения стойкости, выполняя вредоносные программы при входе пользователя в систему. Эта техника включает в себя манипуляции с файлами .desktop в каталогах XDG Autostart, таких как:
- /etc/xdg/autostart
- ~/.config/autostart
Эти файлы определяют приложения, которые автоматически запускаются при загрузке окружения рабочего стола пользователя, что дает злоумышленникам возможность обеспечить последовательное выполнение вредоносных программ.
Яркий пример этой техники был замечен в кампаниях, проведенных Transparent Tribe, также известной как APT36, в период с конца 2023 по апрель 2024 года. Эта группа атаковала индийские правительственные, оборонные и аэрокосмические предприятия, используя ELF-загрузчики на основе Python для создания файлов .desktop в каталоге ~/.config/autostart. Эти файлы специально создавались для выполнения вредоносной полезной нагрузки при каждом входе пользователя в систему, обеспечивая постоянный доступ к взломанным системам. Чтобы избежать обнаружения, файлы .desktop имитировали легитимные системные файлы, что отражает передовые методы работы группы и ее способность вписывать вредоносную активность в нормальное поведение системы.
В аналогичном, но более свежем случае вредоносная программа DISGOMOJI, выявленная в июне 2024 года, также использовала записи автозапуска XDG для сохранения устойчивости в системах Linux. В рамках своей стратегии атаки DISGOMOJI помещал файлы .desktop, такие как GNOME_Core.desktop или GNOME_GNU.desktop, в каталог ~/.config/autostart. Эти файлы были предназначены для обеспечения автоматического выполнения вредоносной программы при каждом входе пользователя в систему, даже после перезагрузки системы. Чтобы еще больше замаскировать свое присутствие, DISGOMOJI дополнил содержимое файлов .desktop десятками тысяч символов #, которые не влияют на функциональность, но служат для того, чтобы запутать следователей или отсрочить проведение экспертизы.
Пример содержимого файла .desktop, добавленного DISGOMOJI, выглядит следующим образом:
| 1 2 3 4 5 | [Desktop Entry] Name=GNU Core Service Exec=/home/user/.x86_64-linux-gnu/vmcoreinfo Type=Application X-GNOME-Autostart-enabled=true |
Такая конфигурация обеспечивает автоматический запуск исполняемого файла /home/user/.x86_64-linux-gnu/vmcoreinfo при каждой загрузке среды рабочего стола. Используя XDG Autostart Entries таким образом, DISGOMOJI достигает скрытного и надежного механизма сохранения, позволяющего его вредоносной деятельности продолжаться без перерыва, не требуя дополнительного взаимодействия со стороны злоумышленника.
В совокупности эти примеры подчеркивают универсальность и эффективность XDG Autostart Entries как метода сохранения в Linux-системах, что делает его предпочтительным выбором для продвинутых угроз.