Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1055 , T1055.001 , T1055.002 , T1055.003 , T1055.004 , T1055.005 , T1055.008 , T1055.009 , T1055.011 , T1055.012 , T1055.013 , T1055.014 , T1055.015
Злоумышленники могут внедрять переносимые исполняемые файлы (PE) в процессы, чтобы обойти защиту, основанную на процессах, а также повысить привилегии. Инъекция PE - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса.
Инъекция PE обычно выполняется путем копирования кода (возможно, без файла на диске) в виртуальное адресное пространство целевого процесса перед его вызовом через новый поток. Запись может быть выполнена с помощью встроенных вызовов Windows API, таких как VirtualAllocEx и WriteProcessMemory, а затем вызвана с помощью CreateRemoteThread или дополнительного кода (например, shellcode). Вытеснение инжектируемого кода вводит дополнительное требование к функциональности для ремапинга ссылок на память.(Цитата: Elastic Process Injection July 2017)
Выполнение кода в контексте другого процесса может обеспечить доступ к его памяти, системным/сетевым ресурсам и, возможно, повышенным привилегиям.Выполнение кода через PE-инъекцию может также ускользнуть от обнаружения продуктами безопасности, поскольку выполнение маскируется под легитимный процесс.
https://attack.mitre.org/techniques/T1055/002
Визуализация смежных техник для T1055.002
| № | Техника |
|---|
