T1574: Перехват потока исполнения
Злоумышленники могут запускать свою полезную нагрузку путем изменения процесса запуска программ операционной системой. Перехват потока исполнения дает возможность закрепления в системе, поскольку перехваченное выполнение может повторяться в будущем. Злоумышленники также могут использовать эти механизмы для повышения привилегий или обхода средств защиты, таких как контроль приложений и другие ограничения на выполнение.
Поток исполнения может перехватываться различными способами, в том числе путем манипуляций с порядком поиска программ для выполнения операционной системой. Возможна также эксплуатация схемы поиска операционной системой библиотек для программ. Полезные нагрузки также могут быть размещены в местах, где операционная система ищет программы и ресурсы, таких как файловые каталоги и реестр Windows.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_privilege_escalation: PT-CR-460: DLL_Hijacking: Обнаружена попытка повысить привилегии учетной записи, загрузив вредоносную библиотеку
Подтехники
- T1574.001 Перехват поиска DLL-библиотек
- T1574.002 Загрузка сторонних DLL-библиотек
- T1574.006 Перехват динамического компоновщика
- T1574.007 Изменение переменной окружения PATH
- T1574.009 Перехват поиска через не заключенный в кавычки путь
- T1574.011 Недостатки разрешений для записей реестра, относящихся к службам
- T1574.012 Переменная окружения COR_PROFILER
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах реестра и (или) значениях Windows, с помощью которых злоумышленники могут выполнить полезную нагрузку вредоносного ПО путем изменения процесса запуска программ операционной системой. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте файлы, недавно созданные в часто используемых папках системы. |
---|
ID | DS0019 | Источник и компонент данных | Служба: Метаданные службы | Описание | Проверяйте бинарные и исполняемые файлы служб на изменения, которые обычно возникают при обновлении ПО. Если исполняемый файл записан, переименован и (или) перемещен, но внешне похож на файл существующей службы, это можно выявить и сопоставить с другими признаками подозрительного поведения. Хеширование бинарных и исполняемых файлов служб помогает обнаружить подмену данных путем их сверки с сохраненными значениями. |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте недавно созданные процессы на предмет нетипичного поведения (например, установление сетевого подключения процессом, который обычно этого не делает), а также появление новых файлов или программ. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте неожиданные изменения в правах доступа и атрибутах файлов. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для выполнения полезной нагрузки вредоносного ПО путем изменения процесса запуска программ операционной системой. |
---|
Меры противодействия
ID | M1013 | Название | Руководство для разработчиков приложений | Описание | По возможности включайте хеш-значения в файлы манифестов, чтобы предотвратить загрузку сторонних вредоносных библиотек. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте привилегии пользователей и групп пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в службы и пути к бинарным файлам служб. По возможности запретите выполнение кода из пользовательских каталогов, таких как каталоги загрузки файлов и временные каталоги. Проследите, чтобы действовали права и средства управления доступом к к каталогам, чтобы пользователи не могли записывать файлы в каталог верхнего уровня
|
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Устанавливайте приложения .NET и сопутствующее программное обеспечение в защищенные от записи места. Установите контроль доступа к каталогам, чтобы предотвратить запись файлов в пути поиска для приложений .NET, как в папках, из которых запускаются приложения, так и в стандартных папках ресурсов. |
---|
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | Проследите, чтобы для кустов реестра были установлены соответствующие разрешения, чтобы предотвратить изменение пользователями разделов системных компонентов, что может привести к повышению привилегий. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Злоумышленникам, скорее всего, придется размещать новые бинарные файлы в местах, где они будут выполняться через это слабое место. Выявляйте и блокируйте потенциально вредоносные программы, выполняемые путем перехвата, с помощью средств контроля приложений, таких как Windows Defender Application Control, AppLocker или политики ограничения ПО, там где это необходимо. |
---|
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | Некоторые решения для защиты конечных точек могут быть настроены на блокировку некоторых типов поведения, связанных с внедрением кода в процессы/вскрытием памяти, на основе общих последовательностей индикаторов (например, выполнение определенных функций API). |
---|
ID | M1044 | Название | Ограничение загрузки библиотек | Описание | Запретите загрузку удаленных библиотек DLL. Эта функция включена по умолчанию в Windows Server 2012+ и доступна в исправлении для XP+ и Server 2003+. Включите режим безопасного поиска DLL, чтобы принудительно искать системные DLL в каталогах с большими ограничениями (например, Режим безопасного поиска DLL можно включить с помощью групповой политики в разделе Конфигурация компьютера > [Политики] > Административные шаблоны > MSS (Legacy): MSS: (SafeDllSearchMode) Включить режим безопасного поиска DLL. Соответствующий раздел реестра Windows находится по адресу |
---|
ID | M1047 | Название | Аудит | Описание | Находите и устраняйте места, уязвимые к перехвату пути, в конфигурационных файлах программ, сценариях, переменной окружения PATH, службах и ярлыках, заключая пути в кавычки, если функции позволяют это сделать. Помните о порядке поиска, который Windows использует для выполнения или загрузки бинарных файлов, и используйте полные пути, где это уместно. Очищайте старые разделы реестра Windows при удалении программ, чтобы избежать наличия разделов, не связанных с легитимными бинарными файлами. Периодически ищите и устраняйте уязвимости к перехвату путей в системах, используя специализированные или общедоступные инструменты, которые выявляют программное обеспечение, использующее небезопасные конфигурации путей. |
---|
ID | M1051 | Название | Обновление ПО | Описание | Регулярно обновляйте программное обеспечение, чтобы включить исправления, устраняющие уязвимости, связанные с загрузкой сторонних DLL-библиотек. |
---|
ID | M1052 | Название | Контроль учетных записей | Описание | Отключите повышение привилегий UAC для стандартных пользователей |
---|