Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1055.001 - Внедрение DLL

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1055 , T1055.001 , T1055.002 , T1055.003 , T1055.004 , T1055.005 , T1055.008 , T1055.009 , T1055.011 , T1055.012 , T1055.013 , T1055.014 , T1055.015

Злоумышленники могут внедрять в процессы библиотеки динамической компоновки (DLL), чтобы обойти защиту, основанную на процессах, а также повысить привилегии. Инъекция DLL - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса.

Инъекция DLL обычно выполняется путем записи пути к DLL в виртуальное адресное пространство целевого процесса перед загрузкой DLL путем вызова нового потока. Запись может быть выполнена с помощью собственных вызовов Windows API, таких как VirtualAllocEx и WriteProcessMemory, а затем вызвана с помощью CreateRemoteThread (который вызывает API LoadLibrary, отвечающий за загрузку DLL).(Цитата: Elastic Process Injection July 2017)

Разновидности этого метода, такие как отражательная инъекция DLL (запись самонастраивающейся DLL в процесс) и модуль памяти (отображение DLL при записи в процесс), преодолевают проблему перемещения адресов, а также дополнительные API для вызова выполнения (поскольку эти методы загружают и выполняют файлы в памяти, вручную выполняя функцию LoadLibrary).(Цитата: Elastic HuntingNMemory June 2017)(Цитата: Elastic Process Injection July 2017)

Другая разновидность этого метода, часто называемая Module Stomping/Overloading или DLL Hollowing, может быть использована для сокрытия инжектированного кода внутри процесса. Этот метод предполагает загрузку легитимной DLL в удаленный процесс, а затем ручную перезапись AddressOfEntryPoint модуля перед запуском нового потока в целевом процессе.(Цитата: Module Stomping for Shellcode Injection) Этот вариант позволяет злоумышленникам скрыть вредоносный внедренный код, потенциально подкрепив его выполнение легитимным DLL-файлом на диске.(Цитата: Hiding Malicious Code with Module Stomping)

Выполнение кода в контексте другого процесса может дать доступ к его памяти, системным/сетевым ресурсам и, возможно, повышенным привилегиям.Выполнение кода через инъекцию DLL может также ускользнуть от обнаружения продуктами безопасности, поскольку выполнение маскируется под легитимный процесс.

https://attack.mitre.org/techniques/T1055/001

← Назад

Визуализация смежных техник для T1055.001

Отрасль:
 с подтехниками
Техника

Закрыть