Техника на mitre.org

T1055.002: Внедрение PE-образа

Злоумышленники могут внедрить в процессы исполняемые файлы PE с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня своих привилегий. Внедрение PE-образа — это способ выполнения произвольного кода в адресном пространстве отдельного активного процесса.

Внедрение PE-образа обычно осуществляется через копирование кода (возможно, и без наличия файла на диске) в виртуальное адресное пространство целевого процесса перед его запуском посредством нового потока. Запись может быть осуществлена с помощью вызовов нативного API Windows, таких как VirtualAllocEx и WriteProcessMemory, после чего поток запускается через вызов функции CreateRemoteThread или дополнительного кода (например, шелл-кода). Перемещение внедряемого кода требует дополнительной функциональности, обеспечивающей переназначение ссылок на адреса в памяти .

Запуск кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным и сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение посредством внедрения PE-образа также дает возможность избежать обнаружения защитными решениями, поскольку маскируется под легитимный процесс.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Обращение к процессуОписание

Отслеживайте просматриваемые процессы, которые могут внедрять в процессы исполняемые файлы PE с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня привилегий.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживание вызовов Windows API, связанных с разными типами внедрения кода, сопряжено с генерацией больших объемов данных. Для эффективной защиты нужно осуществлять сбор данных только при определенных условиях, чтобы выявлять известные вредоносные последовательности вызовов. В противном случае будет трудно выделить вредоносные вызовы API среди множества легитимных. Для этой техники могут использоваться такие вызовы API Windows, как CreateRemoteThread, а также вызовы функций, позволяющих изменять содержимое памяти другого процесса, например VirtualAllocEx/WriteProcessMemory.

IDDS0009Источник и компонент данныхПроцесс: Изменения в процессеОписание

Отслеживайте изменения в процессах, которые могут использоваться для внедрения исполняемых файлов PE в процессы с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня привилегий.

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

В некоторых решениях для обеспечения безопасности конечных точек можно настроить блокирование определенных типов внедрения кода в процессы на основе детектирования распространенных последовательностей действий, характерных для процесса внедрения.