T1036.011 - Перезапись аргументов процесса

Примеры обнаружения с помощью продуктов "Кода Безопасности":
Континент 4

Техники:  T1036 , T1036.001 , T1036.002 , T1036.003 , T1036.004 , T1036.005 , T1036.006 , T1036.007 , T1036.008 , T1036.009 , T1036.010 , T1036.011

Злоумышленники могут модифицировать аргументы процесса в памяти, чтобы изменить его имя и выдать за легитимный или доброкачественный процесс. В Linux операционная система хранит аргументы командной строки в стеке процесса и передает их функции `main()` в виде массива `argv`. Первый элемент, `argv[0]`, обычно содержит имя процесса или путь к нему - по умолчанию, команду, используемую для запуска процесса (например, `cat /etc/passwd`). По умолчанию файловая система Linux `/proc` использует это значение для представления имени процесса. Файл `/proc//cmdline` отражает содержимое этой памяти, и такие инструменты, как `ps`, используют его для отображения информации о процессе. Поскольку при запуске аргументы хранятся в памяти пользовательского пространства, эта модификация может быть выполнена без повышенных привилегий.

Во время выполнения злоумышленники могут стереть память, используемую всеми аргументами командной строки для процесса, перезаписав каждую строку аргументов нулевыми байтами. Таким образом удаляются доказательства того, как процесс был запущен изначально. Затем они могут записать поддельную строку в область памяти, ранее занятую `argv[0]`, чтобы сымитировать доброкачественную команду, например `cat resolv.conf`. Новая строка командной строки отражается в `/proc//cmdline` и отображается такими инструментами, как `ps`.(Цитата: Sandfly BPFDoor 2022)(Цитата: Microsoft XorDdos Linux Stealth 2022)

https://attack.mitre.org/techniques/T1036/011

← Назад

Визуализация смежных техник для T1036.011