T1546.012: Внедрение в IFEO

Злоумышленники могут закрепиться в системе и (или) повысить свои привилегии путем запуска вредоносного содержимого, активируемого программой, выбранной в качестве отладчика с помощью IFEO (параметров выполнения файла образа). Эти параметры позволяют разработчику подключить отладчик к приложению. При создании процесса перед именем приложения будет добавлен путь к отладчику, присутствующий в IFEO приложения (например, C:\dbg\ntsd.exe -g notepad.exe), благодаря чему новый процесс будет запущен под управлением отладчика .

IFEO можно задать непосредственно через реестр или в глобальных флагах с помощью программы GFlags . IFEO указываются в значениях реестра Debugger в разделе HKLM\SOFTWARE{\Wow6432Node}\Microsoft\Windows NT\CurrentVersion\Image File Execution Options<executable>, где <executable> — это бинарный файл, к которому подключен отладчик .

IFEO также позволяют запустить произвольную программу мониторинга, когда указанная программа тихо завершает свою работу (то есть преждевременно завершается сама или другим процессом, работающим не в режиме ядра) . Как и в случае с отладчиками, мониторинг тихого завершения процесса может быть включен с помощью GFlags и (или) путем прямого изменения значений реестра, относящихся к IFEO и тихому завершению процесса, в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit</code> .

Аналогично может быть модифицирована техника Специальные возможности: в Windows Vista, Windows Server 2008 и более поздних версиях можно изменить ключ реестра, чтобы назначить cmd.exe или другую программу, обеспечивающую скрытый доступ, в качестве отладчика для программы специальных возможностей (например, utilman.exe). После изменения реестра ввод соответствующей комбинации клавиш на экране входа в систему посредством клавиатуры или при подключении по протоколу удаленного рабочего стола приведет к выполнению программы, играющей роль отладчика, с привилегиями SYSTEM .

Как и при внедрении кода в процессы, эти значения могут быть использованы для получения повышенных привилегий путем загрузки и запуска вредоносного исполняемого файла в контексте отдельных процессов на компьютере . Установка механизмов IFEO может также обеспечить закрепление в системе посредством их постоянной активации.

Вредоносные программы также могут использовать IFEO для ослабления защиты, регистрируя недействительные отладчики, которые перенаправляют и фактически отключают различные системные и защитные программы .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-521: Debugger_In_Image_File_Execution_Options: Обнаружена попытка встроить стороннее программное обеспечение в цепочку запуска через "Debugger" mitre_attck_persistence: PT-CR-261: GlobalFlags_In_Image_File_Execution_Options: Обнаружена попытка изменить ключ реестра "Image File Execution Options", чтобы встроить стороннее программное обеспечение в цепочку запуска

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте аномальное использование инструмента GFlags, а также случаи порождения стандартных процессов нетипичными родительскими процессами, в том числе с флагами создания процесса, указывающими на выполнение отладки, например DEBUG_PROCESS и DEBUG_ONLY_THIS_PROCESS .

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе и (или) повышения уровня привилегий путем запуска вредоносного содержимого, активируемого программой, выбранной в качестве отладчика с помощью IFEO (параметров выполнения файла образа).

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в значениях реестра, относящихся к IFEO и мониторингу тихого завершения процессов, не связанные с известным ПО, циклами выпуска исправлений и другой легитимной активностью.