之前的两期内容中，我们简要介绍了关于创建或修改系统程序这种攻击手法，以及其中的一种衍生手法，今天我们一起聊聊第二种：Systemd服务。

      对手可以创建或修改systemd服务来重复执行恶意负载，作为实现持久性的一部分。systemd服务管理器通常用于管理后台守护进程(也称为服务)以及其他系统资源。Systemd是许多Linux的默认初始化(init)系统，从Debian 8, Ubuntu 15.04, CentOS 7, RHEL 7, Fedora 15开始，并取代了遗留的init系统，包括SysVinit和Upstart，同时与前面提到的init系统保持向后兼容。

        Systemd利用称为服务单元的配置文件来控制服务如何启动以及在什么条件下启动。默认情况下，这些单元文件存储在/etc/systemd/system和/usr/lib/systemd/system目录下，文件扩展名为.service。每个服务单元文件可能包含许多可以执行系统命令的指令:

• ExecStart, ExecStartPre，和ExecStartPost指令涵盖了当一个服务通过systemctl手动启动或在系统启动时(如果服务设置为自动启动)执行命令的情况。

• ExecReload指令涵盖了服务重启时的情况。

• ExecStop和ExecStopPost指令涵盖了服务被’systemctl’停止或手动停止的情况。
  

        对手者使用systemd功能通过创建、修改服务单元文件来建立对受害系统的持久访问，这些服务单元文件会导致systemd在系统引导时执行恶意命令。

        对手通常需要root权限才能在/etc/systemd/system和/usr/lib/systemd/system目录中创建/修改服务单元文件，而低权限用户可以在目录~/.config/systemd/user/创建或修改服务单元文件，以实现持久性。

完整列表请戳“阅读原文”

        审计/etc/systemd/system、 /usr/lib/systemd/system/和/home//中的文件创建和修改事件，可以检测到Ystemd服务单元文件。配置/systemd/user/目录，以及相关的符号链接。以这种方式产生的可疑进程或脚本将有一个父进程’ systemd ‘，父进程ID为1，并且通常作为’ root ‘用户执行。

        可疑的systemd服务也可以通过将结果与可信的系统基线进行比较来识别。通过使用systemctl实用程序检查系统范围内的服务，可以检测到恶意的systemd服务:分析文件系统上的.service文件的内容，确保它们引用的是合法的、符合预期的可执行文件。

        审计’systemctl’实用程序的执行和命令行参数，以及相关实用程序(如/usr/sbin/service)可能会发现恶意systemd服务执行。

**参考来源：ATT&CK，胖头鱼编译，欢迎转载，转载请注明出处，非常感谢~~