T1574.005: Недостатки разрешений для исполняемых файлов установщика
Злоумышленники могут запускать свою полезную нагрузку путем подмены исполняемых файлов, используемых установщиком. Установочные процессы могут автоматически запускать бинарные файлы для выполнения своих функций или других задач. Если у бинарного файла или каталога, в котором он находится, установлены некорректные разрешения, пользовательского уровня разрешений может быть достаточно, чтобы перезаписать этот бинарный файл другим, после чего он будет выполнен исходным процессом. Если исходный процесс и поток имеют более высокий уровень разрешений, подставной бинарный файл тоже будет выполняться с повышенными привилегиями, в том числе SYSTEM.
Разновидность этого метода эксплуатирует типовые уязвимости самораспаковывающихся установщиков. Во время распаковки установщики часто используют подкаталог в каталоге %TEMP%
для извлечения бинарных файлов DLL, EXE или других полезных данных. Когда установщики создают подкаталоги и файлы, они часто не устанавливают нужные разрешения для ограничения доступа на запись, оставляя возможность запуска ненадежного кода или перезаписи бинарных файлов, используемых в процессе установки. Такие действия перекликаются по смыслу с перехватом поиска DLL-библиотек и могут комбинироваться с ним.
Таким образом злоумышленники могут заменить легитимные бинарные файлы на вредоносные, чтобы выполнить код с более высоким уровнем разрешений. Некоторые установщики могут требовать повышенных привилегий, что позволяет злоумышленникам выполнять свой код с более высоким уровнем прав. Такие действия связаны с техникой Обход контроля учетных записей. Поставщикам программного обеспечения неоднократно сообщали об этой уязвимости в популярных установщиках. Если исполняющий процесс настроен на запуск в определенное время или при наступлении определенного события (например, при загрузке системы), этот метод также может быть применен для закрепления в системе.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0019 | Источник и компонент данных | Служба: Метаданные службы | Описание | Отслеживайте аномальные деревья вызовов стандартных процессов и служб, а также выполнение других команд, которые могут быть связаны с техниками изучения и другими техниками злоумышленников. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов с именами исполняемых файлов существующих служб. Их обнаружение можно сопоставить с другими случаями подозрительного поведения. |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте создание процессов с именами исполняемых файлов существующих служб. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте в бинарных и исполняемых файлах служб изменения, которые обычно производятся при обновлении программного обеспечения. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте привилегии пользователей и групп пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в службы и пути к бинарным файлам служб. По возможности запретите выполнение кода из пользовательских каталогов, таких как каталоги загрузки файлов и временные каталоги. |
---|
ID | M1047 | Название | Аудит | Описание | Используйте средства аудита, способные обнаружить возможности злоупотребления правами доступа к файловой системе в системах предприятия и устранить их. Такие наборы инструментов, как фреймворк PowerSploit, содержат модули PowerUp, с помощью которых можно исследовать системы на предмет слабых мест в разрешениях служебных файловых систем. |
---|
ID | M1052 | Название | Контроль учетных записей | Описание | Отключите повышение привилегий UAC для стандартных пользователей |
---|