T1546.016: Пакеты установщика
Злоумышленники могут закрепиться в системе и повысить свои привилегии, используя установщик для активации выполнения вредоносного содержимого. Установочные пакеты специфичны для каждой операционной системы и содержат ресурсы, необходимые ей для установки приложений. Установочные пакеты могут включать в себя сценарии, которые запускаются как перед установкой, так и после ее завершения. При выполнении сценарии установщика могут наследовать повышенные разрешения. Разработчики часто используют эти сценарии для подготовки среды к установке, проверки требований, загрузки зависимостей, а также удаления файлов после завершения установки.
Используя легитимные приложения, злоумышленники распространяли приложения с измененными сценариями установщика с целью выполнения вредоносного содержимого. Когда пользователь устанавливает приложение, его могут попросить предоставить административные разрешения для продолжения установки. В конце установки легитимного приложения такое содержимое, как сценарии macOS postinstall
, может быть выполнено с унаследованными повышенными разрешениями. Злоумышленники могут использовать эти сценарии для запуска вредоносного исполняемого файла или установки других вредоносных компонентов (например, демона запуска) с повышенными правами.
В зависимости от дистрибутива, Linux-версии сценариев в установочных пакетах иногда называют сценариями сопровождения (maintainer scripts) или послеустановочными сценариями (post installation scripts). Это могут быть такие сценарии, как preinst
, postinst
, prerm
, postrm
, которые запускаются с правами root.
В Windows служба Microsoft Installer управляет установкой, обновлением и удалением приложений с помощью файлов .msi
. Эти установочные процедуры также могут содержать инструкции по выполнению дополнительных действий, которые могут быть использованы злоумышленниками.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы с аргументами, которые могут указывать на несанкционированное использование установочных пакетов, в том числе вредоносные процессы, запущенные с повышенными привилегиями в результате установки приложений. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут указывать на несанкционированное использование установочных пакетов, в том числе вредоносных команд, запущенных в результате установки приложений. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте попытки создания файлов, связанных с установочными пакетами, которые злоумышленники могут использовать для выполнения вредоносного содержимого. |
---|