T1553.002: Подпись исполняемого кода
Злоумышленники могут создать, получить или украсть средства подписи исполняемого кода и использовать их для подписывания собственных вредоносных программ и инструментов. Подписывание кода разработчиком является одним из уровней подтверждения подлинности бинарного файла и гарантирует, что файл не подвергался изменениям . Для реализации этой техники используются сертификаты, которые злоумышленники могут создать, получить или украсть . В отличие от техники Недействительная подпись кода, в этом случае злоумышленники пользуются действительной подписью.
В современных версиях Windows и macOS может использоваться технология проверки подписи кода впервые запущенного приложения. В Linux эта технология не используется из-за децентрализованной архитектуры платформы .
Сертификаты подписи кода могут использоваться для обхода политик безопасности, которые разрешают запускать только подписанный код.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-780: Process_Herpaderping_Injection: Использование техники Process Herpaderping, применяемой для обхода антивирусных и защитных механизмов путем изменения содержимого файла после его отображения в памяти, но до инициации первого потока
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Собирайте и анализируйте метаданные сертификатов подписи для ПО, которое выполняется в среде, и обращайте внимание на нетипичные особенности сертификатов. |
---|