Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1106 - Встроенный API

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1106

Злоумышленники могут взаимодействовать с родным интерфейсом прикладного программирования (API) ОС для выполнения действий. Родные API обеспечивают контролируемые средства вызова низкоуровневых служб ОС внутри ядра, таких как аппаратные средства/устройства, память и процессы.(Цитата: NT API Windows)(Цитата: Linux Kernel API) Эти родные API используются ОС во время загрузки системы (когда другие компоненты системы еще не инициализированы), а также для выполнения задач и запросов во время рутинных операций.

Злоумышленники могут злоупотреблять этими функциями API ОС как средством выполнения поведения. Подобно Command and Scripting Interpreter, родной API и его иерархия интерфейсов обеспечивают механизмы взаимодействия и использования различных компонентов виктимизированной системы.

Функции нативного API (такие как NtCreateProcess) могут быть вызваны через системные вызовы / syscalls, но эти функции также часто открыты для приложений пользовательского режима через интерфейсы и библиотеки.(Цитата: OutFlank System Calls)(Цитата: CyberBit System Calls)(Цитата: MDSec System Calls) Например, такие функции, как Windows API CreateProcess() или GNU fork(), позволяют программам и сценариям запускать другие процессы.(Цитата: Microsoft CreateProcess)(Цитата: GNU Fork) Это может позволить вызывающим API выполнить двоичный файл, запустить команду CLI, загрузить модули и т. д., поскольку существуют тысячи подобных функций API для различных системных операций.(Цитата: Microsoft Win32)(Цитата: LIBC)(Цитата: GLIBC)

Для взаимодействия с родными API также доступны программные фреймворки более высокого уровня, такие как Microsoft .NET и macOS Cocoa.Эти фреймворки обычно предоставляют языковые обертки/абстракции для функций API и предназначены для простоты использования/портативности кода.(Цитата: Microsoft NET)(Цитата: Apple Core Services)(Цитата: MACOS Cocoa)(Цитата: macOS Foundation)

Злоумышленники могут использовать сборку для прямого или косвенного вызова системных вызовов в попытке подорвать защитные датчики и сигнатуры обнаружения, такие как API-крючки пользовательского режима.(Цитата: Redops Syscalls) Злоумышленники также могут пытаться вмешаться в работу датчиков и защитных инструментов, связанных с мониторингом API, например отсоединить контролируемые функции через Disable or Modify Tools.

https://attack.mitre.org/techniques/T1106

← Назад

Визуализация смежных техник для T1106

Отрасль:
 с подтехниками
Техника

Закрыть