T1055.002: Внедрение PE-образа
Злоумышленники могут внедрить в процессы исполняемые файлы PE с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня своих привилегий. Внедрение PE-образа — это способ выполнения произвольного кода в адресном пространстве отдельного активного процесса.
Внедрение PE-образа обычно осуществляется через копирование кода (возможно, и без наличия файла на диске) в виртуальное адресное пространство целевого процесса перед его запуском посредством нового потока. Запись может быть осуществлена с помощью вызовов нативного API Windows, таких как VirtualAllocEx
и WriteProcessMemory
, после чего поток запускается через вызов функции CreateRemoteThread
или дополнительного кода (например, шелл-кода). Перемещение внедряемого кода требует дополнительной функциональности, обеспечивающей переназначение ссылок на адреса в памяти .
Запуск кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным и сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение посредством внедрения PE-образа также дает возможность избежать обнаружения защитными решениями, поскольку маскируется под легитимный процесс.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Изменения в процессе | Описание | Monitor for changes made to processes that may inject portable executables (PE) into processes in order to evade process-based defenses as well as possibly elevate privileges. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Обращение к процессу | Описание | Monitor for processes being viewed that may inject portable executables (PE) into processes in order to evade process-based defenses as well as possibly elevate privileges. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Monitoring Windows API calls indicative of the various types of code injection may generate a significant amount of data and may not be directly useful for defense unless collected under specific circumstances for known bad sequences of calls, since benign use of API functions may be common and difficult to distinguish from malicious behavior. Windows API calls such as |
---|
Меры противодействия
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | Some endpoint security solutions can be configured to block some types of process injection based on common sequences of behavior that occur during the injection process. |
---|