Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1055.013 - Doppelgänging

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1055 , T1055.001 , T1055.002 , T1055.003 , T1055.004 , T1055.005 , T1055.008 , T1055.009 , T1055.011 , T1055.012 , T1055.013 , T1055.014 , T1055.015

Злоумышленники могут внедрить вредоносный код в процесс с помощью двойника процесса, чтобы обойти защиту, основанную на процессе, а также, возможно, повысить привилегии. Доппеллинг процесса - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса.

Транзакционная NTFS Windows (TxF) была представлена в Vista как метод выполнения безопасных файловых операций. (Цитата: Microsoft TxF) Для обеспечения целостности данных TxF позволяет только одному транзакционному дескриптору записывать в файл в определенный момент времени. Пока транзакция с дескриптором записи не завершена, все остальные дескрипторы изолированы от писателя и могут читать только зафиксированную версию файла, существовавшую на момент открытия дескриптора. (Цитата: Microsoft Basic TxF Concepts) Чтобы избежать повреждений, TxF выполняет автоматический откат, если система или приложение дает сбой во время транзакции записи.(Цитата: Microsoft Где использовать TxF)

Хотя интерфейс прикладного программирования (API) TxF устарел, он все еще доступен в Windows 10.(Цитата: BlackHat Process Doppelgänging Dec 2017)

Злоумышленники могут использовать TxF для выполнения безфайловой разновидности Process Injection. Подобно Process Hollowing, доппельгенгинг процессов предполагает замену памяти легитимного процесса, что позволяет завуалированно выполнять вредоносный код, который может обойти защиту и обнаружение. Использование TxF в Process doppelgänging также позволяет избежать использования высококонтролируемых API-функций, таких как NtUnmapViewOfSection, VirtualProtectEx и SetThreadContext.(Цитата: BlackHat Process Doppelgänging Dec 2017)

Process Doppelgänging реализуется в 4 шага (Цитата: BlackHat Process Doppelgänging Dec 2017):

* Transact - создание TxF-транзакции с использованием легитимного исполняемого файла, а затем перезапись файла вредоносным кодом. Эти изменения будут изолированы и видны только в контексте транзакции.
* Load - создание общей секции памяти и загрузка вредоносного исполняемого файла.
* Откат - отмена изменений в исходном исполняемом файле, эффективное удаление вредоносного кода из файловой системы.
* Animate - создание процесса из испорченного участка памяти и инициирование его выполнения.

Такое поведение, скорее всего, не приведет к повышению привилегий, поскольку внедряемый процесс был порожден из (и, следовательно, наследует контекст безопасности) внедряющего процесса.Однако выполнение с помощью двойника процесса может ускользнуть от обнаружения продуктами безопасности, поскольку выполнение маскируется под легитимный процесс.

https://attack.mitre.org/techniques/T1055/013

← Назад

Визуализация смежных техник для T1055.013

Отрасль:
 с подтехниками
Техника

Закрыть