T1055.005: Локальная память потока
Злоумышленники могут внедрить вредоносный код в процессы посредством обратных вызовов (callback) локальной памяти потока (TLS) с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня своих привилегий. Внедрение через обратный вызов TLS — это способ выполнения произвольного кода в адресном пространстве отдельного активного процесса.
Внедрение через обратный вызов TLS включает манипулирование указателями внутри исполняемого файла PE с целью перенаправления процесса на вредоносный код до перехода к легитимной точке входа кода. Обратные вызовы TLS обычно задействуются операционной системой для подготовки и (или) очистки данных, используемых потоками. Манипулирование обратными вызовами TLS можно осуществить посредством выделения памяти и записи данных по определенным смещениям в пространстве памяти процесса с использованием других техник внедрения кода в процессы, таких как Внедрение в пустой процесс.
Запуск кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным и сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение посредством внедрения через обратный вызов TLS также дает возможность избежать обнаружения защитными решениями, поскольку маскируется под легитимный процесс.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Изменения в процессе | Описание | Отслеживайте изменения в процессах, которые могут использоваться для внедрения вредоносного кода в процессы посредством обратных вызовов (callback) локальной памяти потока (TLS) с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня привилегий. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Обращение к процессу | Описание | Отслеживайте просматриваемые процессы, которые могут внедрять вредоносный код в процессы посредством обратных вызовов (callback) локальной памяти потока (TLS) с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня привилегий. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживание вызовов Windows API, связанных с разными типами внедрения кода, сопряжено с генерацией больших объемов данных. Для эффективной защиты нужно осуществлять сбор данных только при определенных условиях, чтобы выявлять известные вредоносные последовательности вызовов. В противном случае будет трудно выделить вредоносные вызовы API среди множества легитимных. Для этой техники могут использоваться такие вызовы API Windows, как |
---|
Меры противодействия
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | В некоторых решениях для обеспечения безопасности конечных точек можно настроить блокирование определенных типов внедрения кода в процессы на основе детектирования распространенных последовательностей действий, характерных для процесса внедрения. |
---|