Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1068 - Эксплуатация уязвимостей для повышения привилегий

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1068

Злоумышленники могут использовать уязвимости программного обеспечения в попытке повысить уровень привилегий. Эксплуатация программной уязвимости происходит, когда злоумышленник использует ошибку программирования в программе, службе или в самом программном обеспечении или ядре операционной системы для выполнения контролируемого злоумышленником кода. Конструкции безопасности, такие как уровни разрешений, часто препятствуют доступу к информации и использованию определенных методов, поэтому злоумышленникам, скорее всего, придется выполнять повышение привилегий, включая использование программной эксплуатации для обхода этих ограничений.

При первоначальном получении доступа к системе Злоумышленник может работать в рамках процесса с более низкими привилегиями, что не позволит ему получить доступ к определенным ресурсам системы. Могут существовать уязвимости, обычно в компонентах операционной системы и программном обеспечении, обычно работающем с более высокими правами доступа, которые можно использовать для получения более высокого уровня доступа к системе. Это может позволить кому-то перейти от непривилегированных прав или прав пользователя к правам SYSTEM или root в зависимости от уязвимого компонента. Это также может позволить злоумышленнику перейти из виртуализированной среды, например, внутри виртуальной машины или контейнера, на основной хост. Это может быть необходимым шагом для злоумышленника, компрометирующего конечную систему, которая была правильно настроена и ограничивает другие методы повышения привилегий.

Злоумышленники могут перенести подписанный уязвимый драйвер на взломанную машину, чтобы использовать уязвимость для выполнения кода в режиме ядра. Этот процесс иногда называют Bring Your Own Vulnerable Driver (BYOVD).(Цитата: ESET InvisiMole June 2020)(Цитата: Unit42 AcidBox June 2020) Злоумышленники могут включить уязвимый драйвер в файлы, передаваемые при первоначальном доступе, или загрузить его на скомпрометированную систему с помощью Ingress Tool Transfer или Lateral Tool Transfer.

https://attack.mitre.org/techniques/T1068

← Назад

Визуализация смежных техник для T1068

Отрасль:
 с подтехниками
Техника

Закрыть