PT Sandbox

Песочница для экспертной защиты от сложного вредоносного ПО и угроз нулевого дня

T1546.016: Пакеты установщика

Злоумышленники могут закрепиться в системе и повысить свои привилегии, используя установщик для активации выполнения вредоносного содержимого. Установочные пакеты специфичны для каждой операционной системы и содержат ресурсы, необходимые ей для установки приложений. Установочные пакеты могут включать в себя сценарии, которые запускаются как перед установкой, так и после ее завершения. При выполнении сценарии установщика могут наследовать повышенные разрешения. Разработчики часто используют эти сценарии для подготовки среды к установке, проверки требований, загрузки зависимостей, а также удаления файлов после завершения установки.

Используя легитимные приложения, злоумышленники распространяли приложения с измененными сценариями установщика с целью выполнения вредоносного содержимого. Когда пользователь устанавливает приложение, его могут попросить предоставить административные разрешения для продолжения установки. В конце установки легитимного приложения такое содержимое, как сценарии macOS postinstall, может быть выполнено с унаследованными повышенными разрешениями. Злоумышленники могут использовать эти сценарии для запуска вредоносного исполняемого файла или установки других вредоносных компонентов (например, демона запуска) с повышенными правами.

В зависимости от дистрибутива, Linux-версии сценариев в установочных пакетах иногда называют сценариями сопровождения (maintainer scripts) или послеустановочными сценариями (post installation scripts). Это могут быть такие сценарии, как preinst, postinst, prerm, postrm, которые запускаются с правами root.

В Windows служба Microsoft Installer управляет установкой, обновлением и удалением приложений с помощью файлов .msi. Эти установочные процедуры также могут содержать инструкции по выполнению дополнительных действий, которые могут быть использованы злоумышленниками.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы с аргументами, которые могут указывать на несанкционированное использование установочных пакетов, в том числе вредоносные процессы, запущенные с повышенными привилегиями в результате установки приложений.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут указывать на несанкционированное использование установочных пакетов, в том числе вредоносных команд, запущенных в результате установки приложений.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте попытки создания файлов, связанных с установочными пакетами, которые злоумышленники могут использовать для выполнения вредоносного содержимого.