MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1546.012: Внедрение в IFEO

Злоумышленники могут закрепиться в системе и (или) повысить свои привилегии путем запуска вредоносного содержимого, активируемого программой, выбранной в качестве отладчика с помощью IFEO (параметров выполнения файла образа). Эти параметры позволяют разработчику подключить отладчик к приложению. При создании процесса перед именем приложения будет добавлен путь к отладчику, присутствующий в IFEO приложения (например, C:\dbg\ntsd.exe -g notepad.exe), благодаря чему новый процесс будет запущен под управлением отладчика .

IFEO можно задать непосредственно через реестр или в глобальных флагах с помощью программы GFlags . IFEO указываются в значениях реестра Debugger в разделе HKLM\SOFTWARE{\Wow6432Node}\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\, где \ — это бинарный файл, к которому подключен отладчик .

IFEO также позволяют запустить произвольную программу мониторинга, когда указанная программа тихо завершает свою работу (то есть преждевременно завершается сама или другим процессом, работающим не в режиме ядра) . Как и в случае с отладчиками, мониторинг тихого завершения процесса может быть включен с помощью GFlags и (или) путем прямого изменения значений реестра, относящихся к IFEO и тихому завершению процесса, в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\ .

Аналогично может быть модифицирована техника Специальные возможности: в Windows Vista, Windows Server 2008 и более поздних версиях можно изменить ключ реестра, чтобы назначить cmd.exe или другую программу, обеспечивающую скрытый доступ, в качестве отладчика для программы специальных возможностей (например, utilman.exe). После изменения реестра ввод соответствующей комбинации клавиш на экране входа в систему посредством клавиатуры или при подключении по протоколу удаленного рабочего стола приведет к выполнению программы, играющей роль отладчика, с привилегиями SYSTEM .

Как и при внедрении кода в процессы, эти значения могут быть использованы для получения повышенных привилегий путем загрузки и запуска вредоносного исполняемого файла в контексте отдельных процессов на компьютере . Установка механизмов IFEO может также обеспечить закрепление в системе посредством их постоянной активации.

Вредоносные программы также могут использовать IFEO для ослабления защиты, регистрируя недействительные отладчики, которые перенаправляют и фактически отключают различные системные и защитные программы .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-261: GlobalFlags_in_Image_File_Execution_Options: Обнаружена попытка изменить ключ реестра "Image File Execution Options", чтобы встроить стороннее программное обеспечение в цепочку запуска
mitre_attck_persistence: PT-CR-521: Debugger_in_Image_File_Execution_Options: Обнаружена попытка встроить стороннее программное обеспечение в цепочку запуска через "Debugger"

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for abnormal usage of the GFlags tool as well as common processes spawned under abnormal parents and/or with creation flags indicative of debugging such as DEBUG_PROCESS and DEBUG_ONLY_THIS_PROCESS.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Monitor Registry values associated with IFEOs, as well as silent process exit monitoring, for modifications that do not correlate with known software, patch cycles, etc.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may establish persistence and/or elevate privileges by executing malicious content triggered by Image File Execution Options (IFEO) debuggers.