Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1055 , T1055.001 , T1055.002 , T1055.003 , T1055.004 , T1055.005 , T1055.008 , T1055.009 , T1055.011 , T1055.012 , T1055.013 , T1055.014 , T1055.015
Злоумышленники могут внедрять вредоносный код в процессы через обратные вызовы локального хранилища потоков (TLS), чтобы обойти защиту, основанную на процессах, и, возможно, повысить привилегии. Инъекция обратного вызова TLS - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса.
Инъекция обратного вызова TLS предполагает манипулирование указателями внутри переносимого исполняемого файла (PE) для перенаправления процесса на вредоносный код до того, как он достигнет законной точки входа. Обратные вызовы TLS обычно используются ОС для настройки и/или очистки данных, используемых потоками.Манипулирование обратными вызовами TLS может осуществляться путем выделения и записи в определенные смещения в пространстве памяти процесса с использованием других техник Process Injection, таких как Process Hollowing.(Цитата: FireEye TLS Nov 2017)
Выполнение кода в контексте другого процесса может обеспечить доступ к его памяти, системным/сетевым ресурсам и, возможно, повышенным привилегиям.Выполнение через инъекцию обратного вызова TLS также может ускользнуть от обнаружения продуктами безопасности, поскольку выполнение маскируется под легитимный процесс.
https://attack.mitre.org/techniques/T1055/005
Визуализация смежных техник для T1055.005
| № | Техника |
|---|
