Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1080 - Заражение общего содержимого

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1080

Злоумышленники могут доставлять полезную нагрузку на удаленные системы, добавляя содержимое в общие места хранения, такие как сетевые диски или внутренние хранилища кода. Содержимое, хранящееся на сетевых дисках или в других местах общего доступа, может быть испорчено путем добавления вредоносных программ, скриптов или кода эксплойтов в другие корректные файлы. Когда пользователь открывает общий испорченный контент, его вредоносная часть может быть выполнена для запуска кода Злоумышленника на удаленной системе. Злоумышленники могут использовать испорченное общее содержимое для перемещения в пространстве.

Поворот общего ресурса каталога - это вариация этой техники, которая использует несколько других методов для распространения вредоносного ПО, когда пользователи обращаются к общему сетевому каталогу. Она использует Shortcut Modification файлы .LNK каталогов, которые с помощью Masquerading выглядят как настоящие каталоги, скрытые с помощью Hidden Files and Directories. Вредоносные каталоги .LNK содержат встроенную команду, которая выполняет скрытый файл вредоносной программы в каталоге, а затем открывает настоящий каталог, чтобы ожидаемое пользователем действие все же произошло. При использовании часто используемых сетевых каталогов эта техника может привести к частым повторным заражениям и широкому доступу к системам и, возможно, к новым и более высоким привилегированным учетным записям.(Цитата: Retwin Directory Share Pivot)

Злоумышленники также могут компрометировать общие сетевые каталоги с помощью бинарных инфекций, добавляя или дописывая свой код к здоровому бинарному файлу в общем сетевом каталоге. Вредоносная программа может изменять исходную точку входа (OEP) здорового двоичного файла, чтобы обеспечить его выполнение перед легитимным кодом. Инфекция может продолжать распространяться через новый зараженный файл, когда он выполняется удаленной системой.Эти инфекции могут поражать как двоичные, так и недвоичные форматы, заканчивающиеся расширениями .EXE, .DLL, .SCR, .BAT и/или .VBS, но не ограничиваясь ими.

https://attack.mitre.org/techniques/T1080

← Назад

Визуализация смежных техник для T1080

Отрасль:
 с подтехниками
Техника

Закрыть