T1546.012: Внедрение в IFEO
Злоумышленники могут закрепиться в системе и (или) повысить свои привилегии путем запуска вредоносного содержимого, активируемого программой, выбранной в качестве отладчика с помощью IFEO (параметров выполнения файла образа). Эти параметры позволяют разработчику подключить отладчик к приложению. При создании процесса перед именем приложения будет добавлен путь к отладчику, присутствующий в IFEO приложения (например, C:\dbg\ntsd.exe -g notepad.exe
), благодаря чему новый процесс будет запущен под управлением отладчика .
IFEO можно задать непосредственно через реестр или в глобальных флагах с помощью программы GFlags . IFEO указываются в значениях реестра Debugger
в разделе HKLM\SOFTWARE{\Wow6432Node}\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
, где \ — это бинарный файл, к которому подключен отладчик .
IFEO также позволяют запустить произвольную программу мониторинга, когда указанная программа тихо завершает свою работу (то есть преждевременно завершается сама или другим процессом, работающим не в режиме ядра) . Как и в случае с отладчиками, мониторинг тихого завершения процесса может быть включен с помощью GFlags и (или) путем прямого изменения значений реестра, относящихся к IFEO и тихому завершению процесса, в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\
.
Аналогично может быть модифицирована техника Специальные возможности: в Windows Vista, Windows Server 2008 и более поздних версиях можно изменить ключ реестра, чтобы назначить cmd.exe
или другую программу, обеспечивающую скрытый доступ, в качестве отладчика для программы специальных возможностей (например, utilman.exe
). После изменения реестра ввод соответствующей комбинации клавиш на экране входа в систему посредством клавиатуры или при подключении по протоколу удаленного рабочего стола приведет к выполнению программы, играющей роль отладчика, с привилегиями SYSTEM .
Как и при внедрении кода в процессы, эти значения могут быть использованы для получения повышенных привилегий путем загрузки и запуска вредоносного исполняемого файла в контексте отдельных процессов на компьютере . Установка механизмов IFEO может также обеспечить закрепление в системе посредством их постоянной активации.
Вредоносные программы также могут использовать IFEO для ослабления защиты, регистрируя недействительные отладчики, которые перенаправляют и фактически отключают различные системные и защитные программы .
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_persistence: PT-CR-261: GlobalFlags_in_Image_File_Execution_Options: Обнаружена попытка изменить ключ реестра "Image File Execution Options", чтобы встроить стороннее программное обеспечение в цепочку запуска
mitre_attck_persistence: PT-CR-521: Debugger_in_Image_File_Execution_Options: Обнаружена попытка встроить стороннее программное обеспечение в цепочку запуска через "Debugger"
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor for abnormal usage of the GFlags tool as well as common processes spawned under abnormal parents and/or with creation flags indicative of debugging such as |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Monitor Registry values associated with IFEOs, as well as silent process exit monitoring, for modifications that do not correlate with known software, patch cycles, etc. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may establish persistence and/or elevate privileges by executing malicious content triggered by Image File Execution Options (IFEO) debuggers. |
---|