T1574.008: Перехват поиска программ
Злоумышленники могут запускать свою полезную нагрузку путем перехвата порядка поиска, используемого для загрузки других программ. Некоторые программы вызывают другие программы не по полному пути. Злоумышленники могут воспользоваться этим, поместив свой файл в тот же каталог, что и вызывающая программа. В результате ОС запустит их вредоносное ПО по запросу вызывающей программы.
Перехват поиска происходит, когда злоумышленник эксплуатирует порядок поиска программ в Windows, к которым не указан путь. В отличие от перехвата поиска DLL-библиотек, порядок поиска программы различается в зависимости от метода ее выполнения . Тем не менее обычно Windows осуществляет поиск в каталоге запускающей программы, после чего проверяет системный каталог Windows. Если злоумышленник обнаружит программу, уязвимую к перехвату порядка поиска (то есть не указывающую явно путь к исполняемому файлу, который она запускает), он может создать свою программу с таким же названием, как запускаемая, и поместить ее в каталог запускающей программы.
Например, пусть example.exe запускает cmd.exe с аргументом командной строки net user
. Злоумышленник может разместить программу с названием net.exe в том же каталоге, что и example.exe, и тогда вместо системной утилиты net из состава Windows будет запущена net.exe. Кроме того, если злоумышленник поместит программу с названием net.com в тот же каталог, что и net.exe,", в этом случае команда cmd.exe /C net user
будет выполнять net.com вместо net.exe из-за порядка расширений исполняемых файлов, определенного в PATHEXT .
Перехват порядка поиска также применяется для подмены загружаемых DLL-библиотек (см. технику Перехват поиска DLL-библиотек).
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, пути к исполняемым файлам которых являются усеченными путями к другим каталогам. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в метаданных программ, например удаление пути к исполняемому файлу. После таких модификаций программы могут стать уязвимыми к определенным техникам. Также отслеживайте изменения в файлах, например замену имен программ на названия системных утилит Windows. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов, пути к которым являются усеченными путями к каталогам, проверяемым системой при запуске стандартных процессов по значению переменной окружения, либо другим каталогам, которые должны быть недоступны для записи пользователям. Кроме того, отслеживайте создание файлов для программ, имена которых совпадают с именами системных программ Windows или программ, обычно выполняемых без указания пути (например, |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Злоумышленники, скорее всего, будут пытаться размещать новые бинарные файлы в местах, позволяющих использовать данную уязвимость для их выполнения. Выявляйте и при необходимости блокируйте потенциально вредоносные программы, выполняемые путем перехвата, с помощью средств контроля приложений, таких как управление приложениями в Защитнике Windows, AppLocker или политики ограниченного использования программ (SRP). |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Проследите, чтобы были установлены надлежащие разрешения и контроль доступа к каталогам, которые запрещают пользователям записывать файлы в каталог верхнего уровня
|
---|
ID | M1047 | Название | Аудит | Описание | Находите и устраняйте места, уязвимые к перехвату пути, в конфигурационных файлах программ, сценариях, переменной окружения PATH, службах и ярлыках, заключая пути в кавычки, если функции позволяют это сделать. Помните о порядке поиска, который Windows использует для выполнения или загрузки бинарных файлов, и используйте полные пути, где это уместно. Очищайте реестр Windows от устаревших ключей при удалении программ, чтобы избежать наличия ключей, не связанных с легитимными бинарными файлами. Периодически ищите и устраняйте уязвимости к перехвату путей в системах, используя специализированные или общедоступные инструменты, которые выявляют программное обеспечение, использующее небезопасные конфигурации путей. |
---|