Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1055 , T1055.001 , T1055.002 , T1055.003 , T1055.004 , T1055.005 , T1055.008 , T1055.009 , T1055.011 , T1055.012 , T1055.013 , T1055.014 , T1055.015
Злоумышленники могут внедрить вредоносный код в процесс через Extra Window Memory (EWM), чтобы обойти защиту, основанную на процессах, а также, возможно, повысить привилегии. Инъекция EWM - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса.
Прежде чем создать окно, графические процессы на базе Windows должны прописать или зарегистрировать класс windows, который определяет внешний вид и поведение (через процедуры windows, которые являются функциями, обрабатывающими ввод/вывод данных).(Цитата: Microsoft Window Classes) Регистрация новых классов windows может включать запрос на добавление до 40 байт EWM в выделенную память каждого экземпляра этого класса. Этот EWM предназначен для хранения данных, специфичных для данного окна, и имеет специальные функции интерфейса прикладного программирования (API) для установки и получения его значения.(Цитата: функция Microsoft GetWindowLong) (Цитата: функция Microsoft SetWindowLong)
Несмотря на небольшой размер, EWM достаточно велик для хранения 32-разрядного указателя и часто используется для указания на процедуру windows. Вредоносное ПО может использовать эту область памяти в рамках цепочки атак, включающей запись кода в общие разделы памяти процесса, размещение указателя на код в EWM, а затем вызов выполнения путем возврата управления выполнением по адресу в EWM процесса.
Выполнение, переданное через инъекцию EWM, может обеспечить доступ к памяти целевого процесса и, возможно, повышенные привилегии. Запись полезной нагрузки в общие секции также позволяет избежать использования высококонтролируемых вызовов API, таких как WriteProcessMemory и CreateRemoteThread.(Цитата: Elastic Process Injection July 2017) Более сложные образцы вредоносного ПО также могут потенциально обойти такие механизмы защиты, как предотвращение выполнения данных (DEP), запустив комбинацию оконных процедур и других системных функций, которые перезапишут вредоносную полезную нагрузку внутри исполняемой части целевого процесса.(Цитата: MalwareTech Power Loader Aug 2013) (Цитата: WeLiveSecurity Gapz and Redyms Mar 2013)
Запуск кода в контексте другого процесса может дать доступ к его памяти, системным/сетевым ресурсам и, возможно, повышенным привилегиям.Выполнение кода через инъекцию EWM может также ускользнуть от обнаружения продуктами безопасности, поскольку выполнение маскируется под легитимный процесс.
https://attack.mitre.org/techniques/T1055/011
Визуализация смежных техник для T1055.011
| № | Техника |
|---|
