Выполнение по событию

Злоумышленники могут устанавливать закрепление и/или повышать привилегии, используя системные механизмы, которые запускают выполнение на основе определенных событий. Различные операционные системы имеют средства для мониторинга и подписки на события, такие как вход в систему или другая активность пользователя, например запуск определенных приложений/бинарных файлов. Облачные среды также могут поддерживать различные функции и сервисы, которые осуществляют мониторинг и могут вызываться в ответ на определенные облачные события. Злоумышленники могут злоупотреблять этими механизмами как средством поддержания постоянного доступа к системе жертвы путем многократного выполнения вредоносного кода. После получения доступа к системе жертвы злоумышленники могут создавать/изменять триггеры событий, чтобы они указывали на вредоносное содержимое, которое будет выполняться при каждом вызове триггера события. Поскольку выполнение может быть проксировано учетной записью с более высокими разрешениями, такой как SYSTEM или служебные учетные записи, злоумышленник может злоупотреблять этими механизмами запускаемого выполнения для повышения своих привилегий.