PT Sandbox

Песочница для экспертной защиты от сложного вредоносного ПО и угроз нулевого дня

T1055.002: Внедрение PE-образа

Злоумышленники могут внедрить в процессы исполняемые файлы PE с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня своих привилегий. Внедрение PE-образа — это способ выполнения произвольного кода в адресном пространстве отдельного активного процесса.

Внедрение PE-образа обычно осуществляется через копирование кода (возможно, и без наличия файла на диске) в виртуальное адресное пространство целевого процесса перед его запуском посредством нового потока. Запись может быть осуществлена с помощью вызовов нативного API Windows, таких как VirtualAllocEx и WriteProcessMemory, после чего поток запускается через вызов функции CreateRemoteThread или дополнительного кода (например, шелл-кода). Перемещение внедряемого кода требует дополнительной функциональности, обеспечивающей переназначение ссылок на адреса в памяти .

Запуск кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным и сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение посредством внедрения PE-образа также дает возможность избежать обнаружения защитными решениями, поскольку маскируется под легитимный процесс.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Изменения в процессеОписание

Monitor for changes made to processes that may inject portable executables (PE) into processes in order to evade process-based defenses as well as possibly elevate privileges.

IDDS0009Источник и компонент данныхПроцесс: Обращение к процессуОписание

Monitor for processes being viewed that may inject portable executables (PE) into processes in order to evade process-based defenses as well as possibly elevate privileges.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Monitoring Windows API calls indicative of the various types of code injection may generate a significant amount of data and may not be directly useful for defense unless collected under specific circumstances for known bad sequences of calls, since benign use of API functions may be common and difficult to distinguish from malicious behavior. Windows API calls such as CreateRemoteThread and those that can be used to modify memory within another process, such as VirtualAllocEx/WriteProcessMemory, may be used for this technique.

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

Some endpoint security solutions can be configured to block some types of process injection based on common sequences of behavior that occur during the injection process.