T1574.012: Переменная окружения COR_PROFILER
Злоумышленники могут попытаться перехватить поток исполнения программ, загружающих среду Common Language Runtime (CLR) платформы .NET, с помощью переменной окружения COR_PROFILER. COR_PROFILER позволяет разработчикам указывать неуправляемую (или внешнюю относительно .NET) DLL-библиотеку профилировщика, которая будет загружаться в каждый процесс .NET, загружающий CLR. Эти профилировщики предназначены для мониторинга, устранения неполадок и отладки кода, выполняемого в среде CLR .NET.
Переменную среды COR_PROFILER можно установить на уровне системы, пользователя или процесса. Для переменных окружения уровня системы или пользователя профилировщики указываются в реестре, где в качестве DLL-библиотеки профилировщика можно зарегистрировать объект COM-модели. COR_PROFILER на уровне процесса также можно создать в памяти, не вмешиваясь в реестр. Начиная с .NET версии 4, DLL-библиотеку профилирования не нужно регистрировать, если ее расположение задано в переменной окружения COR_PROFILER_PATH.
Злоумышленники могут воспользоваться COR_PROFILER, чтобы закрепиться в системе и выполнять вредоносную DLL-библиотеку в контексте всех процессов .NET при каждом вызове CLR. COR_PROFILER также может использоваться для повышения привилегий (см. технику Обход контроля учетных записей), если целевой .NET-процесс выполняется с более высоким уровнем разрешений, а также для перехвата и ослабления защиты, заложенной в процессы .NET.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Мониторинг событий запуска процессов wmic.exe, setx.exe и reg.exe, в командных строках которых выполняется изменение ключей реестра COR_ENABLE_PROFILING, COR_PROFILER и COR_PROFILER_PATH. — Мониторинг событий изменения ключей реестра COR_ENABLE_PROFILING, COR_PROFILER и COR_PROFILER_PATH в ветках реестра HKCU\Environment и HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Обращайте особое внимание на подозрительные изменения таких ключей реестра, как COR_ENABLE_PROFILING, COR_PROFILER и COR_PROFILER_PATH, выполняемые с помощью инструментов командной строки, например wmic.exe, setx.exe и reg. Для обнаружения угроз рекомендуется также отслеживать аргументы командной строки, указывающие на изменение переменных окружения COR_PROFILER. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, таких как setx.exe, которые могут злоупотреблять переменной окружения COR_PROFILER. Отслеживайте загрузку новых подозрительных неуправляемых DLL-библиотек профилирования в процессы .NET сразу после CLR, что приводит к их аномальному поведению. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Для обнаружения использования переменной окружения COR_PROFILER на уровне системы и пользователей отслеживайте изменения в реестре переменных COR_ENABLE_PROFILING, COR_PROFILER и COR_PROFILER_PATH, не связанные с известными инструментами разработчиков. |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте DLL-файлы, связанные с переменной окружения COR_PROFILER. |
---|
Меры противодействия
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | Проследите, чтобы для кустов реестра были установлены надлежащие разрешения, которые не позволяют пользователям изменять ключи, связанные с COR_PROFILER. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Идентифицируйте и блокируйте потенциально вредоносные неуправляемые библиотеки для профилирования, указанные в COR_PROFILER, с помощью решений для контроля приложений, таких как AppLocker, способных проверять и (или) блокировать несанкционированные библиотеки DLL. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте привилегии пользователей таким образом, чтобы только авторизованные администраторы могли вносить изменения в переменные окружения системы. |
---|