PT Sandbox

Песочница для экспертной защиты от сложного вредоносного ПО и угроз нулевого дня

T1055.009: Внедрение через файловую систему /proc

Злоумышленники могут внедрить вредоносный код в процессы через файловую систему /proc с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня своих привилегий. Внедрение через файловую систему /proc — это способ выполнения произвольного кода в адресном пространстве отдельного активного процесса.

Внедрение через файловую систему /proc включает получение данных о памяти процесса при помощи файловой системы /proc (/proc/[pid]) с последующим созданием полезной нагрузки на основе возвратно-ориентированного программирования (ROP) с доступными гаджетами/инструкциями. Каждый запущенный процесс имеет свой собственный каталог в этой файловой системе, в котором указаны в том числе адреса, занимаемые процессом в памяти. Внедрение через файловую систему /proc обычно осуществляется посредством перезаписи стека целевого процесса с использованием схемы размещения процесса в памяти, предоставленной файловой системой /proc. Эту информацию можно использовать для составления перечня смещений (включая стек) и гаджетов (или инструкций в программе, которые могут быть задействованы для создания полезной нагрузки), обычно скрытых механизмами защиты памяти процесса, такими как случайное перераспределение адресного пространства (ASLR). После составления перечня схема распределения памяти целевого процесса в /proc/[pid]/maps может быть перезаписана с помощью dd.

Для получения более широкого выбора доступных гаджетов могут быть использованы другие техники, такие как Перехват динамического компоновщика. Как и в случае с внедрением в пустой процесс, внедрение через файловую систему /proc может применяться к дочерним процессам (таким как фоновая копия sleep).

Запуск кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным и сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение посредством внедрения через файловую систему /proc также дает возможность избежать обнаружения защитными решениями, поскольку маскируется под легитимный процесс.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for changes made to /proc files that may inject malicious code into processes via the /proc filesystem in order to evade process-based defenses as well as possibly elevate privileges. Users should not have permission to modify these in most cases.

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

Some endpoint security solutions can be configured to block some types of process injection based on common sequences of behavior that occur during the injection process.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Restrict the permissions on sensitive files such as /proc/[pid]/maps or /proc/[pid]/mem.