Техники: T1036 , T1036.001 , T1036.002 , T1036.003 , T1036.004 , T1036.005 , T1036.006 , T1036.007 , T1036.008 , T1036.009 , T1036.010
Злоумышленник может попытаться обойти анализ на основе дерева процессов, изменив идентификатор родительского процесса (PPID) выполняемого вредоносного ПО. Если программное обеспечение для защиты конечных точек использует для обнаружения связь "родитель-ребенок", нарушение этой связи может привести к тому, что поведение злоумышленника не будет связано с предыдущей активностью в дереве процессов.В системах на базе Unix нарушение этого дерева процессов является обычной практикой для администраторов, выполняющих программное обеспечение с помощью сценариев и программ.(Цитата: 3OHA double-fork 2022)
В системах Linux злоумышленники могут выполнять серию вызовов Native API для изменения дерева процессов вредоносного ПО. Например, злоумышленники могут выполнить свою полезную нагрузку без каких-либо аргументов, дважды вызвать вызов API `fork()`, а затем завершить родительский процесс. В результате создается дочерний процесс без родительского процесса, который немедленно подхватывается системным процессом `init` (PID 1), что успешно отсоединяет выполнение полезной нагрузки Злоумышленника от его предыдущего дерева процессов.
Другой пример - использование системного вызова "daemon" для отсоединения от текущего родительского процесса и работы в фоновом режиме.(Цитата: Sandfly BPFDoor 2022)(Цитата: Microsoft XorDdos Linux Stealth 2022)
https://attack.mitre.org/techniques/T1036/009
Визуализация смежных техник для T1036.009
| № | Техника |
|---|
