PT Sandbox

Песочница для экспертной защиты от сложного вредоносного ПО и угроз нулевого дня

T1055.005: Локальная память потока

Злоумышленники могут внедрить вредоносный код в процессы посредством обратных вызовов (callback) локальной памяти потока (TLS) с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня своих привилегий. Внедрение через обратный вызов TLS — это способ выполнения произвольного кода в адресном пространстве отдельного активного процесса.

Внедрение через обратный вызов TLS включает манипулирование указателями внутри исполняемого файла PE с целью перенаправления процесса на вредоносный код до перехода к легитимной точке входа кода. Обратные вызовы TLS обычно задействуются операционной системой для подготовки и (или) очистки данных, используемых потоками. Манипулирование обратными вызовами TLS можно осуществить посредством выделения памяти и записи данных по определенным смещениям в пространстве памяти процесса с использованием других техник внедрения кода в процессы, таких как Внедрение в пустой процесс.

Запуск кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным и сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение посредством внедрения через обратный вызов TLS также дает возможность избежать обнаружения защитными решениями, поскольку маскируется под легитимный процесс.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Изменения в процессеОписание

Отслеживайте изменения в процессах, которые могут использоваться для внедрения вредоносного кода в процессы посредством обратных вызовов (callback) локальной памяти потока (TLS) с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня привилегий.

IDDS0009Источник и компонент данныхПроцесс: Обращение к процессуОписание

Отслеживайте просматриваемые процессы, которые могут внедрять вредоносный код в процессы посредством обратных вызовов (callback) локальной памяти потока (TLS) с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня привилегий.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживание вызовов Windows API, связанных с разными типами внедрения кода, сопряжено с генерацией больших объемов данных. Для эффективной защиты нужно осуществлять сбор данных только при определенных условиях, чтобы выявлять известные вредоносные последовательности вызовов. В противном случае будет трудно выделить вредоносные вызовы API среди множества легитимных. Для этой техники могут использоваться такие вызовы API Windows, как CreateRemoteThread, SuspendThread/SetThreadContext/ResumeThreadа также вызовы функций, позволяющих изменять содержимое памяти другого процесса, например VirtualAllocEx/WriteProcessMemory.

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

В некоторых решениях для обеспечения безопасности конечных точек можно настроить блокирование определенных типов внедрения кода в процессы на основе детектирования распространенных последовательностей действий, характерных для процесса внедрения.