T1574.008: Перехват поиска программ

Злоумышленники могут запускать свою полезную нагрузку путем перехвата порядка поиска, используемого для загрузки других программ. Некоторые программы вызывают другие программы не по полному пути. Злоумышленники могут воспользоваться этим, поместив свой файл в тот же каталог, что и вызывающая программа. В результате ОС запустит их вредоносное ПО по запросу вызывающей программы.

Перехват поиска происходит, когда злоумышленник эксплуатирует порядок поиска программ в Windows, к которым не указан путь. В отличие от перехвата поиска DLL-библиотек, порядок поиска программы различается в зависимости от метода ее выполнения . Тем не менее обычно Windows осуществляет поиск в каталоге запускающей программы, после чего проверяет системный каталог Windows. Если злоумышленник обнаружит программу, уязвимую к перехвату порядка поиска (то есть не указывающую явно путь к исполняемому файлу, который она запускает), он может создать свою программу с таким же названием, как запускаемая, и поместить ее в каталог запускающей программы.

Например, пусть example.exe запускает cmd.exe с аргументом командной строки net user. Злоумышленник может разместить программу с названием net.exe в том же каталоге, что и example.exe, и тогда вместо системной утилиты net из состава Windows будет запущена net.exe. Кроме того, если злоумышленник поместит программу с названием net.com в тот же каталог, что и net.exe,", в этом случае команда cmd.exe /C net user будет выполнять net.com вместо net.exe из-за порядка расширений исполняемых файлов, определенного в PATHEXT .

Перехват порядка поиска также применяется для подмены загружаемых DLL-библиотек (см. технику Перехват поиска DLL-библиотек).

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, пути к исполняемым файлам которых являются усеченными путями к другим каталогам.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в метаданных программ, например удаление пути к исполняемому файлу. После таких модификаций программы могут стать уязвимыми к определенным техникам. Также отслеживайте изменения в файлах, например замену имен программ на названия системных утилит Windows.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов, пути к которым являются усеченными путями к каталогам, проверяемым системой при запуске стандартных процессов по значению переменной окружения, либо другим каталогам, которые должны быть недоступны для записи пользователям. Кроме того, отслеживайте создание файлов для программ, имена которых совпадают с именами системных программ Windows или программ, обычно выполняемых без указания пути (например, findstr, net и python). Если данные действия не связаны с известными операциями администраторов, обновлениями, установкой ПО и исправлений, их можно считать подозрительными.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Злоумышленники, скорее всего, будут пытаться размещать новые бинарные файлы в местах, позволяющих использовать данную уязвимость для их выполнения. Выявляйте и при необходимости блокируйте потенциально вредоносные программы, выполняемые путем перехвата, с помощью средств контроля приложений, таких как управление приложениями в Защитнике Windows, AppLocker или политики ограниченного использования программ (SRP).

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Проследите, чтобы были установлены надлежащие разрешения и контроль доступа к каталогам, которые запрещают пользователям записывать файлы в каталог верхнего уровня C: и системные каталоги, такие как C:\Windows</code> — это позволит уменьшить количество мест, куда могут быть помещены вредоносные файлы для выполнения. Требуйте, чтобы все исполняемые файлы размещались в каталогах, защищенных от записи.

IDM1047НазваниеАудитОписание

Находите и устраняйте места, уязвимые к перехвату пути, в конфигурационных файлах программ, сценариях, переменной окружения PATH, службах и ярлыках, заключая пути в кавычки, если функции позволяют это сделать. Помните о порядке поиска, который Windows использует для выполнения или загрузки бинарных файлов, и используйте полные пути, где это уместно.

Очищайте реестр Windows от устаревших ключей при удалении программ, чтобы избежать наличия ключей, не связанных с легитимными бинарными файлами. Периодически ищите и устраняйте уязвимости к перехвату путей в системах, используя специализированные или общедоступные инструменты, которые выявляют программное обеспечение, использующее небезопасные конфигурации путей.