t1037-boot-or-logon-initialization-scripts

# T1037 - Boot or Logon Initialization Scripts ## Descrição Adversários podem utilizar scripts executados automaticamente durante a inicialização do sistema ou o logon do usuário para estabelecer **persistência**. Esses scripts de inicialização são nativos dos sistemas operacionais e foram projetados para automação administrativa legítima - configurar o ambiente, mapear drives de rede, aplicar políticas ou executar verificações de saúde do sistema. Por serem recursos nativos e esperados, scripts de inicialização raramente são inspecionados por soluções de segurança convencionais, tornando-os um mecanismo de persistência altamente eficaz. Dependendo do contexto em que o script é executado, o adversário pode obter execução de código com **privilégios elevados** - já que scripts de boot frequentemente rodam como `SYSTEM` (Windows) ou `root` (Linux/macOS). ```mermaid graph TB A[Adversário com acesso ao sistema] --> B{Nível de Privilégio} B -->|Usuário local| C[Logon Script do usuário] B -->|Administrador local| D[Scripts de boot do sistema] B -->|Administrador de domínio| E[Network Logon Script via GPO] C --> FT1037.001 - Windows\nT1037.002 - Login Hook macOS] D --> GT1037.004 - RC Scripts Linux\nT1037.005 - Startup Items macOS] E --> HT1037.003 - Network Logon Script] F --> I[Persistência no logon do usuário] G --> J[Persistência no boot do sistema] H --> K[Persistência em escala por toda a rede] ``` O uso de scripts de inicialização é observado em diferentes perfis de adversário: - **APT41** e **APT29** abusam de scripts de logon de domínio para garantir que seus implantes sejam recarregados após reinicializações ou limpeza de memória - **Rocke** utiliza scripts RC no Linux para garantir que mineradores de criptomoeda iniciem automaticamente com o sistema - **UNC3886** foi associado ao uso desta técnica em ambientes **ESXi** via scripts de persistência no hypervisor, explorando o acesso privilegiado a infraestruturas de virtualização O malware [[s1078-rotajkiro|RotaJákiro]] e [[s1217-virtualpita|VIRTUALPITA]] foram ambos identificados com mecanismos de persistência baseados em scripts de inicialização de sistema Linux. ## Sub-técnicas - [[t1037-001-logon-script-windows|T1037.001 - Logon Script (Windows)]] - [[t1037-002-login-hook|T1037.002 - Login Hook]] - [[t1037-003-network-logon-script|T1037.003 - Network Logon Script]] - [[t1037-004-rc-scripts|T1037.004 - RC Scripts]] - [[t1037-005-startup-items|T1037.005 - Startup Items]] ## Detecção | Vetor de Detecção | O que Monitorar | |-------------------|-----------------| | Registro do Windows | Criação ou modificação em `HKCU\Environment\UserInitMprLogonScript` | | GPO e Active Directory | Scripts adicionados à política de logon de domínio sem aprovação documentada | | Sistemas de arquivos Linux | Modificações em `/etc/rc.local`, `/etc/init.d/`, `~/.bashrc`, `~/.profile` fora de jánelas de manutenção | | macOS - plist | Novos arquivos em `/Library/StartupItems/` ou modificações no `com.apple.loginwindow` | | Processos filhos | Scripts de inicialização gerando processos filhos inesperados - especialmente conexões de rede | | ESXi | Modificações em scripts de inicialização do hypervisor (`/etc/rc.local.d/`) | ## Mitigação | ID | Mitigação | Aplicação | |----|-----------|-----------| | M1024 | [[m1024-restrict-registry-permissions\|M1024 - Restrict Registry Permissions]] | Restringir acesso de escrita às chaves de registro relacionadas a logon scripts; monitorar alterações | | M1022 | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Proteger diretórios de scripts de boot (`/etc/rc.local`, `/etc/init.d/`) contra escrita por usuários não-privilegiados | ## Threat Actors que Usam - [[g0096-apt41|APT41]] - espionagem e crime financeiro; uso de logon scripts para persistência pós-comprometimento em redes corporativas - [[g0016-apt29|APT29]] - espionagem de Estado; implantes baseados em scripts para sobreviver a reinicializações em ambientes alvo de alta segurança - [[g0106-rocke|Rocke]] - cryptomining; RC scripts Linux para garantir reinício automático de mineradores após boot - [[g1048-unc3886|UNC3886]] - espionagem via VMware ESXi; scripts de persistência no hypervisor para acesso furtivo de longo prazo ## Software Associado - [[s1078-rotajkiro|RotaJákiro]] - backdoor Linux que utiliza scripts de inicialização para garantir execução persistente - [[s1217-virtualpita|VIRTUALPITA]] - malware ESXi associado ao UNC3886 com persistência via scripts do hypervisor ## Contexto Brasil/LATAM No Brasil e na América Latina, o abuso de scripts de inicialização é uma técnica amplamente observada em diferentes perfis de adversário - desde grupos de ransomware até operações de cryptomining e campanhas de espionagem estatal. No vetor **Linux**, grupos de cryptomining como [[g0106-rocke|Rocke]] e seus afiliados locais têm histórico documentado de comprometer servidores Linux de provedores de hospedagem brasileiros e de nuvem pública (AWS, Google Cloud, Azure com instâncias Linux), instalando mineradores de criptomoeda com persistência via scripts RC (`/etc/rc.local`) ou serviços systemd. O CERT.br registrou múltiplos incidentes desse tipo em servidores de hospedagem compartilhada e VPS de baixo custo - infraestrutura amplamente utilizada por PMEs na região. No vetor **Windows com Active Directory**, grupos de ransomware como [[lockbit-ransomware|LockBit]] e [[conti|Conti]] utilizaram Network Logon Scripts ([[t1037-003-network-logon-script|T1037.003]]) distribuídos via GPO para propagar seus implantes lateralmente em redes corporativas brasileiras após comprometer um controlador de domínio. Essa abordagem permite que o payload sejá executado automaticamente em todos os endpoints ao logon, maximizando o alcance da infecção antes do acionamento da criptografia. No contexto de **infraestrutura virtualizada**, o crescente uso de VMware ESXi em data centers brasileiros e latino-americanos - incluindo órgãos governamentais e instituições financeiras - torna o vetor ESXi especialmente preocupante. O grupo [[g1048-unc3886|UNC3886]], com técnica documentada de persistência via scripts do hypervisor, representa um risco direto para organizações da região que operam ambientes VMware sem os patches de segurança aplicados e sem monitoramento de integridade dos scripts de inicialização do ESXi (`/etc/rc.local.d/`). Para equipes de defesa brasileiras, a auditoria de scripts de inicialização deve cobrir todos os vetores: chaves de registro de logon no Windows, GPOs de domínio no Active Directory, arquivos RC e serviços systemd em servidores Linux, e scripts de boot em hypervisores ESXi - integrando essas verificações nos processos de [[defesas|hardening]] e resposta a incidentes do ambiente. --- *Fonte: [MITRE ATT&CK - T1037](https://attack.mitre.org/techniques/T1037)*