Злоумышленники все чаще используют системные настройки для автоматического выполнения программ при запуске системы или входе пользователя в систему, что позволяет получить постоянный контроль или повысить привилегии на взломанных системах. Этот подход часто использует механизмы операционной системы, такие как специальные каталоги или хранилища конфигурации, например реестр Windows.
Что такое загрузка и автозапуск?
Загрузка системы (Boot Logon) и Автозапуск (Auto Start Execution) - неотъемлемые компоненты современных вычислительных систем, функционирующие для оптимизации и управления запуском процессов и приложений на этапе запуска компьютера и при входе пользователя в систему.
Загрузка системы
Загрузка системы включает в себя ряд действий и процедур, выполняемых при включении компьютера и начале загрузки операционной системы. Эта фаза имеет решающее значение для настройки среды компьютера и включает загрузку:
- базовой системы ввода/вывода (BIOS),
- унифицированный расширяемый интерфейс микропрограммного обеспечения (UEFI),
- инициализацию аппаратных компонентов и
- запуск основных служб операционной системы.
Основная задача Загрузки системы - обеспечить правильную загрузку и настройку базовых элементов системы, обеспечивая стабильную и работоспособную платформу для пользователя и всех последующих процессов.
Автозапуск
Автозапуск означает автоматический запуск определенных программ, скриптов или служб при входе пользователя в систему или при определенных заданных условиях. Эта функция повышает удобство пользователя и эффективность системы, обеспечивая доступность часто используемых приложений или важных системных служб, таких как программы безопасности и инструменты системного мониторинга, без ручного вмешательства. Выполнение автозапуска можно настроить с помощью различных механизмов в операционной системе, включая, помимо прочего, определенные ключи реестра в средах Windows, папки запуска или создание запланированных задач.
Вместе функции Boot Logon и Auto Start Execution составляют важнейшую часть пользовательского опыта и функциональности системы, обеспечивая плавный переход от запуска системы к ее готовности к работе за счет автоматизации запуска ключевых процессов и приложений. Хотя эти функции разработаны с учетом эффективности и удобства для пользователей, они также требуют тщательного управления и надзора для предотвращения неправильного использования, особенно в контексте неавторизованного или вредоносного программного обеспечения, стремящегося использовать эти механизмы для сохранения или несанкционированных действий.
В ATT&CK v16 существует 14 подтехник, относящихся к технике выполнения автозапуска при загрузке или входе в систему.
| Техника | Имя |
| T1547.001 | Ключи запуска реестра / папка запуска |
| T1547.002 | Пакет аутентификации |
| T1547.003 | Поставщики времени |
| T1547.004 | DLL-библиотеки, загружаемые с помощью Winlogon |
| T1547.005 | Поставщик поддержки безопасности (SSP) |
| T1547.006 | Модули и расширения ядра |
| T1547.007 | Переоткрытые приложения |
| T1547.008 | Драйвер LSASS |
| T1547.009 | Модификация ярлыков |
| T1547.010 | Мониторы портов |
| T1547.012 | Обработчики печати |
| T1547.013 | Записи автозапуска XDG |
| T1547.014 | Активная настройка |
| T1547.015 | Объекты входа |
