Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1055 , T1055.001 , T1055.002 , T1055.003 , T1055.004 , T1055.005 , T1055.008 , T1055.009 , T1055.011 , T1055.012 , T1055.013 , T1055.014 , T1055.015
Злоумышленники могут внедрять вредоносный код в захваченные процессы, чтобы обойти защиту, основанную на процессах, а также, возможно, повысить привилегии. Thread Execution Hijacking - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса.
Thread Execution Hijacking обычно осуществляется путем приостановки существующего процесса и последующего отсоединения/захвата его памяти, которая затем может быть заменена вредоносным кодом или путем к DLL. Сначала создается хэндл к существующему процессу-жертве с помощью собственных вызовов Windows API, таких как OpenThread. В этот момент процесс может быть приостановлен, затем в него может быть произведена запись, перенастройка на внедренный код и возобновление работы с помощью SuspendThread , VirtualAllocEx, WriteProcessMemory, SetThreadContext, затем ResumeThread соответственно.(Цитата: Elastic Process Injection July 2017)
Это очень похоже на Process Hollowing, но нацелено на существующий процесс, а не на создание процесса в приостановленном состоянии.
Выполнение кода в контексте другого процесса может дать доступ к его памяти, системным/сетевым ресурсам и, возможно, повышенным привилегиям.Выполнение с помощью Thread Execution Hijacking также может избежать обнаружения средствами безопасности, поскольку выполнение маскируется под легитимный процесс.
https://attack.mitre.org/techniques/T1055/003
Визуализация смежных техник для T1055.003
| № | Техника |
|---|
