T1574: Перехват потока исполнения

Злоумышленники могут запускать свою полезную нагрузку путем изменения процесса запуска программ операционной системой. Перехват потока исполнения дает возможность закрепления в системе, поскольку перехваченное выполнение может повторяться в будущем. Злоумышленники также могут использовать эти механизмы для повышения привилегий или обхода средств защиты, таких как контроль приложений и другие ограничения на выполнение.

Поток исполнения может перехватываться различными способами, в том числе путем манипуляций с порядком поиска программ для выполнения операционной системой. Возможна также эксплуатация схемы поиска операционной системой библиотек для программ. Полезные нагрузки также могут быть размещены в местах, где операционная система ищет программы и ресурсы, таких как файловые каталоги и реестр Windows.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_privilege_escalation: PT-CR-460: DLL_Hijacking: Обнаружена попытка повысить привилегии учетной записи, загрузив вредоносную библиотеку

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах реестра и (или) значениях Windows, с помощью которых злоумышленники могут выполнить полезную нагрузку вредоносного ПО путем изменения процесса запуска программ операционной системой.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте файлы, недавно созданные в часто используемых папках системы.

IDDS0019Источник и компонент данныхСлужба: Метаданные службыОписание

Проверяйте бинарные и исполняемые файлы служб на изменения, которые обычно возникают при обновлении ПО. Если исполняемый файл записан, переименован и (или) перемещен, но внешне похож на файл существующей службы, это можно выявить и сопоставить с другими признаками подозрительного поведения. Хеширование бинарных и исполняемых файлов служб помогает обнаружить подмену данных путем их сверки с сохраненными значениями.

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте недавно созданные процессы на предмет нетипичного поведения (например, установление сетевого подключения процессом, который обычно этого не делает), а также появление новых файлов или программ.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте неожиданные изменения в правах доступа и атрибутах файлов.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для выполнения полезной нагрузки вредоносного ПО путем изменения процесса запуска программ операционной системой.

Меры противодействия

IDM1013НазваниеРуководство для разработчиков приложенийОписание

По возможности включайте хеш-значения в файлы манифестов, чтобы предотвратить загрузку сторонних вредоносных библиотек.

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте привилегии пользователей и групп пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в службы и пути к бинарным файлам служб. По возможности запретите выполнение кода из пользовательских каталогов, таких как каталоги загрузки файлов и временные каталоги.

Проследите, чтобы действовали права и средства управления доступом к к каталогам, чтобы пользователи не могли записывать файлы в каталог верхнего уровня C: и системные каталоги, такие как C:\Windows</code>. Это позволит уменьшить количество мест, где могут располагаться файлы для выполнения вредоносного кода.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Устанавливайте приложения .NET и сопутствующее программное обеспечение в защищенные от записи места. Установите контроль доступа к каталогам, чтобы предотвратить запись файлов в пути поиска для приложений .NET, как в папках, из которых запускаются приложения, так и в стандартных папках ресурсов.

IDM1024НазваниеОграничение прав доступа к рееструОписание

Проследите, чтобы для кустов реестра были установлены соответствующие разрешения, чтобы предотвратить изменение пользователями разделов системных компонентов, что может привести к повышению привилегий.

IDM1038НазваниеЗащита от выполненияОписание

Злоумышленникам, скорее всего, придется размещать новые бинарные файлы в местах, где они будут выполняться через это слабое место. Выявляйте и блокируйте потенциально вредоносные программы, выполняемые путем перехвата, с помощью средств контроля приложений, таких как Windows Defender Application Control, AppLocker или политики ограничения ПО, там где это необходимо.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

Некоторые решения для защиты конечных точек могут быть настроены на блокировку некоторых типов поведения, связанных с внедрением кода в процессы/вскрытием памяти, на основе общих последовательностей индикаторов (например, выполнение определенных функций API).

IDM1044НазваниеОграничение загрузки библиотекОписание

Запретите загрузку удаленных библиотек DLL. Эта функция включена по умолчанию в Windows Server 2012+ и доступна в исправлении для XP+ и Server 2003+.

Включите режим безопасного поиска DLL, чтобы принудительно искать системные DLL в каталогах с большими ограничениями (например, %SYSTEMROOT%) для использования перед DLL-библиотеками локального каталога (например, домашний каталог пользователя)

Режим безопасного поиска DLL можно включить с помощью групповой политики в разделе Конфигурация компьютера > [Политики] > Административные шаблоны > MSS (Legacy): MSS: (SafeDllSearchMode) Включить режим безопасного поиска DLL. Соответствующий раздел реестра Windows находится по адресу HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SafeDLLSearchMode.

IDM1047НазваниеАудитОписание

Находите и устраняйте места, уязвимые к перехвату пути, в конфигурационных файлах программ, сценариях, переменной окружения PATH, службах и ярлыках, заключая пути в кавычки, если функции позволяют это сделать. Помните о порядке поиска, который Windows использует для выполнения или загрузки бинарных файлов, и используйте полные пути, где это уместно.

Очищайте старые разделы реестра Windows при удалении программ, чтобы избежать наличия разделов, не связанных с легитимными бинарными файлами. Периодически ищите и устраняйте уязвимости к перехвату путей в системах, используя специализированные или общедоступные инструменты, которые выявляют программное обеспечение, использующее небезопасные конфигурации путей.

IDM1051НазваниеОбновление ПООписание

Регулярно обновляйте программное обеспечение, чтобы включить исправления, устраняющие уязвимости, связанные с загрузкой сторонних DLL-библиотек.

IDM1052НазваниеКонтроль учетных записейОписание

Отключите повышение привилегий UAC для стандартных пользователей [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System], чтобы автоматически отклонять запросы на повышение привилегий, добавьте: "ConsentPromptBehaviorUser"=dword:00000000. По возможности включите обнаружение установщика для всех пользователей, добавив: "EnableInstallerDetection"=dword:00000001. Это запросит пароль для установки, а также зарегистрирует попытку. Чтобы отключить обнаружение установщика, вместо этого добавьте: "EnableInstallerDetection"=dword:00000000. Это может предотвратить потенциальное повышение привилегий путем эксплуатации в процессе обнаружения UAC программы установки, но позволит продолжить процесс установки без регистрации .