T1055.009: Внедрение через файловую систему /proc

Злоумышленники могут внедрить вредоносный код в процессы через файловую систему /proc с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня своих привилегий. Внедрение через файловую систему /proc — это способ выполнения произвольного кода в адресном пространстве отдельного активного процесса.

Внедрение через файловую систему /proc включает получение данных о памяти процесса при помощи файловой системы /proc (/proc/[pid]) с последующим созданием полезной нагрузки на основе возвратно-ориентированного программирования (ROP) с доступными гаджетами/инструкциями. Каждый запущенный процесс имеет свой собственный каталог в этой файловой системе, в котором указаны в том числе адреса, занимаемые процессом в памяти. Внедрение через файловую систему /proc обычно осуществляется посредством перезаписи стека целевого процесса с использованием схемы размещения процесса в памяти, предоставленной файловой системой /proc. Эту информацию можно использовать для составления перечня смещений (включая стек) и гаджетов (или инструкций в программе, которые могут быть задействованы для создания полезной нагрузки), обычно скрытых механизмами защиты памяти процесса, такими как случайное перераспределение адресного пространства (ASLR). После составления перечня схема распределения памяти целевого процесса в /proc/[pid]/maps может быть перезаписана с помощью dd.

Для получения более широкого выбора доступных гаджетов могут быть использованы другие техники, такие как Перехват динамического компоновщика. Как и в случае с внедрением в пустой процесс, внедрение через файловую систему /proc может применяться к дочерним процессам (таким как фоновая копия sleep).

Запуск кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным и сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение посредством внедрения через файловую систему /proc также дает возможность избежать обнаружения защитными решениями, поскольку маскируется под легитимный процесс.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий изменения файлов, расположенных в директории /proc (/proc/[pid]/maps или /proc/[pid]/mem)

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах в файловой системе /proc, через которую злоумышленники могут внедрить вредоносный код в процессы с целью обхода защиты, действующей на уровне процессов, а также для повышения уровня своих привилегий. По умолчанию у пользователей не должно быть разрешения на изменение подобных файлов.

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

В некоторых решениях для обеспечения безопасности конечных точек можно настроить блокирование определенных типов внедрения кода в процессы на основе детектирования распространенных последовательностей действий, характерных для процесса внедрения.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Ограничьте права доступа к конфиденциальным файлам, таким как /proc/[pid]/maps или /proc/[pid]/mem.