det0112-boot-or-logon-initialization-scripts-detection-strategy

# DET0112 — Boot or Logon Initialization Scripts Detection Strategy ## Descrição Esta estratégia detecta abuso de scripts de inicialização executados durante boot ou logon para persistência cross-platform. Os mecanismos cobertos incluem: Windows Logon Scripts via GPO (`HKCU\Environment\UserInitMprLogonScript`), Windows Startup Folder scripts, Linux/macOS rc scripts (`/etc/rc.local`, `/etc/init.d/`), shell profile files (`~/.bashrc`, `~/.zshrc`, `/etc/profile.d/`), e Network Logon Scripts distribuídos via Active Directory. A telemetria varia por plataforma: no Windows, monitoramento de chaves de registro de logon script e auditoria de GPO (Event ID 4719); no Linux, FIM em arquivos de perfil de shell e `/etc/rc.*`; no macOS, monitoramento de `/etc/zshenv`, `/etc/zshrc` e equivalentes. A adição de comandos de download-e-execute (`curl | bash`, `wget | sh`) em arquivos de perfil shell é particularmente indicativa de comprometimento. Scripts de inicialização são atraentes para persistência porque executam com frequência (a cada logon/boot), frequentemente com privilégios elevados, e são raramente auditados por equipes de segurança. Modificações em `~/.bashrc` ou `/etc/profile.d/` por usuário não-root podem indicar comprometimento de credencial e tentativa de persistência. [[g0007-apt28]] e grupos de espionagem Linux utilizam shell profile modifications como método de persistência de longa duração. ## Indicadores de Detecção - Modificação de `HKCU\Environment\UserInitMprLogonScript` ou `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit` - Adição de scripts em `C:\Users\{user}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\` - Modificação de `~/.bashrc`, `~/.zshrc`, `~/.profile`, `/etc/profile.d/*.sh` por processo não-shell interativo - Adição de `/etc/rc.local` ou scripts em `/etc/init.d/` por processo sem contexto de instalação de pacote - Scripts de inicialização contendo `curl`, `wget`, `nc`, ou download de URL externa - GPO Logon Script modificado (Event 4719) apontando para caminho UNC externo ## Técnicas Relacionadas - [[t1037-boot-or-logon-initialization-scripts]] — Categoria pai - [[t1037001-logon-script-windows]] — Logon scripts Windows - [[t1037002-logon-script-mac]] — Login scripts macOS - [[t1037004-rc-scripts]] — RC scripts Linux - [[t1037005-startup-items]] — Startup items macOS ## Analytics Relacionadas - [[an0311-analytic-0311|AN0311 — Analytic 0311]] - [[an0312-analytic-0312|AN0312 — Analytic 0312]] - [[an0313-analytic-0313|AN0313 — Analytic 0313]] - [[an0314-analytic-0314|AN0314 — Analytic 0314]] - [[an0315-analytic-0315|AN0315 — Analytic 0315]] --- *Fonte: [MITRE ATT&CK — DET0112](https://attack.mitre.org/detectionstrategies/DET0112)*