MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1055.003: Перехват выполнения потока

Злоумышленники могут внедрить вредоносный код в перехваченные процессы с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня своих привилегий. Перехват выполнения потока — это способ выполнения произвольного кода в адресном пространстве отдельного активного процесса.

Перехват выполнения потока обычно осуществляется посредством приостановки существующего процесса с последующим скрытием занимаемой им памяти, куда затем помещается вредоносный код или путь к DLL-файлу. Сначала создается дескриптор целевого процесса с использованием вызовов нативного API Windows, таких как OpenThread. После этого с процессом может быть произведена следующая последовательность действий: приостановка, выделение памяти, запись кода, перенаправление потока управления на внедренный код и продолжение выполнения процесса (вызовы SuspendThread , VirtualAllocEx, WriteProcessMemory, SetThreadContext и ResumeThread соответственно).

Эта техника очень похожа на Внедрение в пустой процесс, но здесь вместо создания процесса в приостановленном состоянии осуществляется атака на уже существующий процесс.

Запуск кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным и сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение посредством перехвата выполнения потока также дает возможность избежать обнаружения защитными решениями, поскольку маскируется под легитимный процесс.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-1074: Create_Remote_Thread_Into_LSASS: Создан поток в адресном пространстве процесса lsass.exe
mitre_attck_defense_evasion: PT-CR-781: TikiTorch_Process_Injection: Обнаружено внедрение в процесс с помощью утилиты TikiTorch
mitre_attck_defense_evasion: PT-CR-933: Malicious_Activity_From_Office_Documents: Подозрительная активность офисных программ: создание исполняемых файлов, изменение ключей реестра, загрузка DLL-библиотеки COM-объекта Internet Explorer, создание потоков в адресном пространстве иных процессов
mitre_attck_defense_evasion: PT-CR-2222: Proccess_Tampering: Процесс создал поток в адресном пространстве процесса. Злоумышленники внедряют код в процессы, чтобы обойти основанную на процессах защиту или повысить привилегии

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживание вызовов Windows API, связанных с разными типами внедрения кода, сопряжено с генерацией больших объемов данных. Для эффективной защиты нужно осуществлять сбор данных только при определенных условиях, чтобы выявлять известные вредоносные последовательности вызовов. В противном случае будет трудно выделить вредоносные вызовы API среди множества легитимных. Для этой техники могут использоваться такие вызовы API Windows, как CreateRemoteThread, SuspendThread/SetThreadContext/ResumeThreadа также вызовы функций, позволяющих изменять содержимое памяти другого процесса, например VirtualAllocEx/WriteProcessMemory.

IDDS0009Источник и компонент данныхПроцесс: Изменения в процессеОписание

Отслеживайте изменения в процессах, которые могут использоваться для внедрения вредоносного кода в перехваченные процессы с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня привилегий.

IDDS0009Источник и компонент данныхПроцесс: Обращение к процессуОписание

Отслеживайте просматриваемые процессы, которые могут внедрять вредоносный код в перехваченные процессы с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня привилегий.

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

В некоторых решениях для обеспечения безопасности конечных точек можно настроить блокирование определенных типов внедрения кода в процессы на основе детектирования распространенных последовательностей действий, характерных для процесса внедрения.