Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1055 , T1055.001 , T1055.002 , T1055.003 , T1055.004 , T1055.005 , T1055.008 , T1055.009 , T1055.011 , T1055.012 , T1055.013 , T1055.014 , T1055.015
Злоумышленники могут внедрять вредоносный код в процессы через очередь асинхронных вызовов процедур (APC), чтобы обойти защиту, основанную на процессах, и, возможно, повысить привилегии. APC-инъекция - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса.
APC-инъекции обычно выполняются путем присоединения вредоносного кода к очереди APC (цит. по: Microsoft APC) потока процесса. Очередь APC-функций выполняется, когда поток переходит в изменяемое состояние.(Цитата: Microsoft APC) Сначала создается хэндл существующего процесса-жертвы с помощью встроенных вызовов Windows API, таких как OpenThread. В этот момент QueueUserAPC может быть использован для вызова функции (например, LoadLibrayA, указывающей на вредоносную DLL).
Разновидность APC-инъекции, получившая название "Early Bird injection", предполагает создание приостановленного процесса, в котором вредоносный код может быть написан и выполнен до точки входа процесса (и, возможно, последующих антивирусных крючков) с помощью APC.(Цитата: CyberBit Early Bird Apr 2018) AtomBombing (Цитата: ENSIL AtomBombing Oct 2016) - еще один вариант, использующий APC для вызова вредоносного кода, ранее записанного в глобальную таблицу атомов.(Цитата: Microsoft Atom Table)
Выполнение кода в контексте другого процесса может дать доступ к его памяти, системным/сетевым ресурсам и, возможно, повышенным привилегиям.Выполнение кода через APC-инъекцию может также ускользнуть от обнаружения продуктами безопасности, поскольку выполнение маскируется под легитимный процесс.
https://attack.mitre.org/techniques/T1055/004
Визуализация смежных техник для T1055.004
| № | Техника |
|---|
