Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1055.009 - Внедрение через файловую систему /proc

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1055 , T1055.001 , T1055.002 , T1055.003 , T1055.004 , T1055.005 , T1055.008 , T1055.009 , T1055.011 , T1055.012 , T1055.013 , T1055.014 , T1055.015

Злоумышленники могут внедрять вредоносный код в процессы через файловую систему /proc, чтобы обойти защиту, основанную на процессах, а также повысить привилегии. Инъекция в память процесса - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса.

Инъекция в память процесса включает в себя перечисление памяти процесса через файловую систему /proc (/proc/[pid]), а затем создание полезной нагрузки, ориентированной на возвратно-ориентированное программирование (ROP), с доступными гаджетами/инструкциями. Каждый запущенный процесс имеет свой собственный каталог, который включает в себя отображения памяти. Инъекции в память процесса обычно выполняются путем перезаписи стека целевых процессов с использованием отображений памяти, предоставляемых файловой системой /proc. Эта информация может быть использована для перечисления смещений (включая стек) и гаджетов (или инструкций в программе, которые могут быть использованы для создания вредоносной полезной нагрузки), иначе скрытых защитой памяти процесса, такой как рандомизация компоновки адресного пространства (ASLR).После перечисления карта памяти целевого процесса в /proc/[pid]/maps может быть перезаписана с помощью dd.(Цитата: Uninformed Needle)(Цитата: GDS Linux Injection)(Цитата: DD Man)

Другие техники, такие как Dynamic Linker Hijacking, могут быть использованы для наполнения целевого процесса более доступными гаджетами.Подобно Process Hollowing, инъекция памяти proc может быть направлена на дочерние процессы (например, фоновую копию sleep).(Цитата: GDS Linux Injection)

Выполнение кода в контексте другого процесса может дать доступ к его памяти, системным/сетевым ресурсам и, возможно, повышенным привилегиям.Выполнение через инъекцию в память proc может также ускользнуть от обнаружения продуктами безопасности, поскольку выполнение маскируется под легитимный процесс.

https://attack.mitre.org/techniques/T1055/009

← Назад

Визуализация смежных техник для T1055.009

Отрасль:
 с подтехниками
Техника

Закрыть