T1574.005: Недостатки разрешений для исполняемых файлов установщика

Злоумышленники могут запускать свою полезную нагрузку путем подмены исполняемых файлов, используемых установщиком. Установочные процессы могут автоматически запускать бинарные файлы для выполнения своих функций или других задач. Если у бинарного файла или каталога, в котором он находится, установлены некорректные разрешения, пользовательского уровня разрешений может быть достаточно, чтобы перезаписать этот бинарный файл другим, после чего он будет выполнен исходным процессом. Если исходный процесс и поток имеют более высокий уровень разрешений, подставной бинарный файл тоже будет выполняться с повышенными привилегиями, в том числе SYSTEM.

Разновидность этого метода эксплуатирует типовые уязвимости самораспаковывающихся установщиков. Во время распаковки установщики часто используют подкаталог в каталоге %TEMP% для извлечения бинарных файлов DLL, EXE или других полезных данных. Когда установщики создают подкаталоги и файлы, они часто не устанавливают нужные разрешения для ограничения доступа на запись, оставляя возможность запуска ненадежного кода или перезаписи бинарных файлов, используемых в процессе установки. Такие действия перекликаются по смыслу с перехватом поиска DLL-библиотек и могут комбинироваться с ним.

Таким образом злоумышленники могут заменить легитимные бинарные файлы на вредоносные, чтобы выполнить код с более высоким уровнем разрешений. Некоторые установщики могут требовать повышенных привилегий, что позволяет злоумышленникам выполнять свой код с более высоким уровнем прав. Такие действия связаны с техникой Обход контроля учетных записей. Поставщикам программного обеспечения неоднократно сообщали об этой уязвимости в популярных установщиках. Если исполняющий процесс настроен на запуск в определенное время или при наступлении определенного события (например, при загрузке системы), этот метод также может быть применен для закрепления в системе.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0019Источник и компонент данныхСлужба: Метаданные службыОписание

Отслеживайте аномальные деревья вызовов стандартных процессов и служб, а также выполнение других команд, которые могут быть связаны с техниками изучения и другими техниками злоумышленников.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов с именами исполняемых файлов существующих служб. Их обнаружение можно сопоставить с другими случаями подозрительного поведения.

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте создание процессов с именами исполняемых файлов существующих служб.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте в бинарных и исполняемых файлах служб изменения, которые обычно производятся при обновлении программного обеспечения.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте привилегии пользователей и групп пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в службы и пути к бинарным файлам служб. По возможности запретите выполнение кода из пользовательских каталогов, таких как каталоги загрузки файлов и временные каталоги.

IDM1047НазваниеАудитОписание

Используйте средства аудита, способные обнаружить возможности злоупотребления правами доступа к файловой системе в системах предприятия и устранить их. Такие наборы инструментов, как фреймворк PowerSploit, содержат модули PowerUp, с помощью которых можно исследовать системы на предмет слабых мест в разрешениях служебных файловых систем.

IDM1052НазваниеКонтроль учетных записейОписание

Отключите повышение привилегий UAC для стандартных пользователей [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]. Чтобы автоматически отклонять запросы на повышение привилегий, добавьте "ConsentPromptBehaviorUser"=dword:00000000. По возможности включите обнаружение установщика для всех пользователей, добавив "EnableInstallerDetection"=dword:00000001. После этого при установке будет запрашиваться пароль и попытки установки будут регистрироваться в журнале. Чтобы отключить обнаружение установщика, вместо этого добавьте "EnableInstallerDetection"=dword:00000000. Это может предотвратить потенциальное повышение привилегий путем эксплуатации в процессе обнаружения UAC программы установки, но позволит продолжить процесс установки без регистрации .