Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1055 , T1055.001 , T1055.002 , T1055.003 , T1055.004 , T1055.005 , T1055.008 , T1055.009 , T1055.011 , T1055.012 , T1055.013 , T1055.014 , T1055.015
Злоумышленники могут внедрять вредоносный код в процессы с помощью перехвата VDSO, чтобы обойти защиту, основанную на процессах, а также повысить привилегии. Перехват виртуального динамического общего объекта (VDSO) - это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса.
Перехват VDSO заключается в перенаправлении вызовов динамически подключаемых общих библиотек. Защита памяти может предотвратить запись исполняемого кода в процесс через Ptrace System Calls. Однако злоумышленник может перехватить кодовые вставки интерфейса системных вызовов, отображаемые в процесс из общего объекта vdso, чтобы выполнить системные вызовы для открытия и отображения вредоносного общего объекта.Затем этот код может быть вызван путем перенаправления потока выполнения процесса через исправленные ссылки на адреса памяти, хранящиеся в глобальной таблице смещений процесса (которые хранят абсолютные адреса отображенных библиотечных функций).(Цитата: ELF Injection May 2009)(Цитата: Backtrace VDSO)(Цитата: VDSO Aug 2005)(Цитата: Syscall 2014)
Выполнение кода в контексте другого процесса может дать доступ к памяти процесса, системным/сетевым ресурсам и, возможно, повышенным привилегиям.Выполнение с помощью перехвата VDSO также может избежать обнаружения продуктами безопасности, так как выполнение маскируется под легитимный процесс.
https://attack.mitre.org/techniques/T1055/014
Визуализация смежных техник для T1055.014
| № | Техника |
|---|
