T1055.009: Внедрение через файловую систему /proc
Злоумышленники могут внедрить вредоносный код в процессы через файловую систему /proc с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня своих привилегий. Внедрение через файловую систему /proc — это способ выполнения произвольного кода в адресном пространстве отдельного активного процесса.
Внедрение через файловую систему /proc включает получение данных о памяти процесса при помощи файловой системы /proc (/proc/[pid]
) с последующим созданием полезной нагрузки на основе возвратно-ориентированного программирования (ROP) с доступными гаджетами/инструкциями. Каждый запущенный процесс имеет свой собственный каталог в этой файловой системе, в котором указаны в том числе адреса, занимаемые процессом в памяти. Внедрение через файловую систему /proc обычно осуществляется посредством перезаписи стека целевого процесса с использованием схемы размещения процесса в памяти, предоставленной файловой системой /proc. Эту информацию можно использовать для составления перечня смещений (включая стек) и гаджетов (или инструкций в программе, которые могут быть задействованы для создания полезной нагрузки), обычно скрытых механизмами защиты памяти процесса, такими как случайное перераспределение адресного пространства (ASLR). После составления перечня схема распределения памяти целевого процесса в /proc/[pid]/maps
может быть перезаписана с помощью dd.
Для получения более широкого выбора доступных гаджетов могут быть использованы другие техники, такие как Перехват динамического компоновщика. Как и в случае с внедрением в пустой процесс, внедрение через файловую систему /proc может применяться к дочерним процессам (таким как фоновая копия sleep).
Запуск кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным и сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение посредством внедрения через файловую систему /proc также дает возможность избежать обнаружения защитными решениями, поскольку маскируется под легитимный процесс.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor for changes made to /proc files that may inject malicious code into processes via the /proc filesystem in order to evade process-based defenses as well as possibly elevate privileges. Users should not have permission to modify these in most cases. |
---|
Меры противодействия
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | Some endpoint security solutions can be configured to block some types of process injection based on common sequences of behavior that occur during the injection process. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Restrict the permissions on sensitive files such as |
---|