Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1055 , T1055.001 , T1055.002 , T1055.003 , T1055.004 , T1055.005 , T1055.008 , T1055.009 , T1055.011 , T1055.012 , T1055.013 , T1055.014 , T1055.015
Злоумышленники могут внедрять вредоносный код в процессы через системные вызовы ptrace (process trace), чтобы обойти защиту, основанную на процессах, а также повысить привилегии. Инъекция системных вызовов Ptrace - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса.
Инъекция системного вызова Ptrace предполагает присоединение к запущенному процессу и его модификацию. Системный вызов ptrace позволяет отладочному процессу наблюдать и контролировать другой процесс (и каждый отдельный поток), включая изменение памяти и значений регистров.(Цитата: PTRACE man) Инъекция системного вызова Ptrace обычно выполняется путем записи произвольного кода в запущенный процесс (например, malloc), а затем обращения к этой памяти с помощью PTRACE_SETREGS для установки регистра, содержащего следующую инструкцию для выполнения. Инъекция системных вызовов Ptrace также может быть выполнена с помощью PTRACE_POKETEXT/PTRACE_POKEDATA, которые копируют данные по определенному адресу в памяти целевых процессов (например, по текущему адресу следующей инструкции).(Цитата: PTRACE man)(Цитата: Medium Ptrace JUL 2018)
Инъекция системного вызова Ptrace может быть невозможна для процессов, которые не являются дочерними процессами и/или имеют более высокие привилегии.(Цитата: BH Linux Inject)
Выполнение кода в контексте другого процесса может предоставить доступ к памяти процесса, системным/сетевым ресурсам и, возможно, повышенным привилегиям.Выполнение через инъекцию системного вызова ptrace также может ускользнуть от обнаружения продуктами безопасности, поскольку выполнение маскируется под легитимный процесс.
https://attack.mitre.org/techniques/T1055/008
Визуализация смежных техник для T1055.008
| № | Техника |
|---|
