Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1003 , T1003.001 , T1003.002 , T1003.003 , T1003.004 , T1003.005 , T1003.006 , T1003.007 , T1003.008
Злоумышленники могут собирать учетные данные из файловой системы proc или `/proc`. Файловая система proc - это псевдофайловая система, используемая в качестве интерфейса к структурам данных ядра для систем на базе Linux, управляющих виртуальной памятью. Для каждого процесса файл `/proc/
При работе с привилегиями root злоумышленники могут искать в этих областях памяти все процессы в системе, содержащие шаблоны, указывающие на учетные данные. Злоумышленники могут использовать regex-шаблоны, например grep -E "^[0-9a-f-]* r" /proc/"$pid"/maps | cut -d' ' -f 1, для поиска фиксированных строк в структурах памяти или кэшированных хэшей.(Цитата: atomic-red proc file system) При работе без привилегированного доступа процессы все еще могут просматривать свои собственные области виртуальной памяти.Некоторые сервисы или программы могут сохранять учетные данные открытым текстом в памяти процесса.(Цитата: MimiPenguin GitHub May 2017)(Цитата: Polop Linux PrivEsc Gitbook)
Если процесс работает как веб-браузер или с правами доступа к нему, он может искать в областях `/maps` и `/mem` общие шаблоны учетных данных веб-сайтов (которые также могут быть использованы для поиска соседней памяти в той же структуре), в которой могут быть расположены хэши или учетные данные в открытом тексте.
https://attack.mitre.org/techniques/T1003/007
Визуализация смежных техник для T1003.007
| № | Техника |
|---|
