Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1055 , T1055.001 , T1055.002 , T1055.003 , T1055.004 , T1055.005 , T1055.008 , T1055.009 , T1055.011 , T1055.012 , T1055.013 , T1055.014 , T1055.015
Злоумышленники могут внедрять вредоносный код в приостановленные и "полые" процессы, чтобы обойти защиту, основанную на процессах. Полые процессы - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса.
Как правило, процесс создается путем создания процесса в приостановленном состоянии, а затем разворачивается/закрывается его память, которая затем может быть заменена вредоносным кодом. Процесс-жертва может быть создан с помощью встроенных вызовов Windows API, таких как CreateProcess, которые включают флаг приостановки основного потока процесса. В этот момент процесс может быть разгруппирован с помощью таких вызовов API, как ZwUnmapViewOfSection или NtUnmapViewOfSection, после чего он будет записан, перенастроен на внедренный код и возобновлен с помощью VirtualAllocEx, WriteProcessMemory, SetThreadContext, затем ResumeThread соответственно.(Цит. по: Leitch Hollowing)(Цит. по: Elastic Process Injection July 2017)
Это очень похоже на Thread Local Storage, но создает новый процесс, а не нацеливается на существующий. Такое поведение, скорее всего, не приведет к повышению привилегий, поскольку инжектируемый процесс был порожден из (и, следовательно, наследует контекст безопасности) инжектирующего процесса.Тем не менее, выполнение с помощью процесса hollowing может также ускользнуть от обнаружения продуктами безопасности, поскольку выполнение маскируется под легитимный процесс.
https://attack.mitre.org/techniques/T1055/012
Визуализация смежных техник для T1055.012
| № | Техника |
|---|
