Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1055 , T1055.001 , T1055.002 , T1055.003 , T1055.004 , T1055.005 , T1055.008 , T1055.009 , T1055.011 , T1055.012 , T1055.013 , T1055.014 , T1055.015
Злоумышленники могут внедрять код в процессы, чтобы обойти защиту, основанную на процессах, а также повысить привилегии. Инъекция в процесс - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса. Выполнение кода в контексте другого процесса может обеспечить доступ к его памяти, системным/сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение кода с помощью инъекции в процесс может также ускользнуть от обнаружения продуктами безопасности, поскольку выполнение маскируется под легитимный процесс.
Существует множество различных способов внедрения кода в процесс, многие из которых злоупотребляют легитимными функциями. Такие реализации существуют для всех основных ОС, но обычно зависят от платформы.
Более сложные образцы могут выполнять инъекции в несколько процессов для сегментации модулей и дальнейшего обхода обнаружения, используя в качестве канала связи именованные трубы или другие механизмы межпроцессного взаимодействия (IPC).
https://attack.mitre.org/techniques/T1055
Визуализация смежных техник для T1055
| № | Техника |
|---|
