T1546.012: Внедрение в IFEO
Злоумышленники могут закрепиться в системе и (или) повысить свои привилегии путем запуска вредоносного содержимого, активируемого программой, выбранной в качестве отладчика с помощью IFEO (параметров выполнения файла образа). Эти параметры позволяют разработчику подключить отладчик к приложению. При создании процесса перед именем приложения будет добавлен путь к отладчику, присутствующий в IFEO приложения (например, C:\dbg\ntsd.exe -g notepad.exe
), благодаря чему новый процесс будет запущен под управлением отладчика .
IFEO можно задать непосредственно через реестр или в глобальных флагах с помощью программы GFlags . IFEO указываются в значениях реестра Debugger
в разделе HKLM\SOFTWARE{\Wow6432Node}\Microsoft\Windows NT\CurrentVersion\Image File Execution Options<executable>
, где <executable>
— это бинарный файл, к которому подключен отладчик .
IFEO также позволяют запустить произвольную программу мониторинга, когда указанная программа тихо завершает свою работу (то есть преждевременно завершается сама или другим процессом, работающим не в режиме ядра) . Как и в случае с отладчиками, мониторинг тихого завершения процесса может быть включен с помощью GFlags и (или) путем прямого изменения значений реестра, относящихся к IFEO и тихому завершению процесса, в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit</code> .
Аналогично может быть модифицирована техника Специальные возможности: в Windows Vista, Windows Server 2008 и более поздних версиях можно изменить ключ реестра, чтобы назначить cmd.exe
или другую программу, обеспечивающую скрытый доступ, в качестве отладчика для программы специальных возможностей (например, utilman.exe
). После изменения реестра ввод соответствующей комбинации клавиш на экране входа в систему посредством клавиатуры или при подключении по протоколу удаленного рабочего стола приведет к выполнению программы, играющей роль отладчика, с привилегиями SYSTEM .
Как и при внедрении кода в процессы, эти значения могут быть использованы для получения повышенных привилегий путем загрузки и запуска вредоносного исполняемого файла в контексте отдельных процессов на компьютере . Установка механизмов IFEO может также обеспечить закрепление в системе посредством их постоянной активации.
Вредоносные программы также могут использовать IFEO для ослабления защиты, регистрируя недействительные отладчики, которые перенаправляют и фактически отключают различные системные и защитные программы .
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_persistence: PT-CR-521: Debugger_In_Image_File_Execution_Options: Обнаружена попытка встроить стороннее программное обеспечение в цепочку запуска через "Debugger" mitre_attck_persistence: PT-CR-261: GlobalFlags_In_Image_File_Execution_Options: Обнаружена попытка изменить ключ реестра "Image File Execution Options", чтобы встроить стороннее программное обеспечение в цепочку запуска
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте аномальное использование инструмента GFlags, а также случаи порождения стандартных процессов нетипичными родительскими процессами, в том числе с флагами создания процесса, указывающими на выполнение отладки, например |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе и (или) повышения уровня привилегий путем запуска вредоносного содержимого, активируемого программой, выбранной в качестве отладчика с помощью IFEO (параметров выполнения файла образа). |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в значениях реестра, относящихся к IFEO и мониторингу тихого завершения процессов, не связанные с известным ПО, циклами выпуска исправлений и другой легитимной активностью. |
---|