Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1129
Злоумышленники могут выполнять вредоносную полезную нагрузку через загрузку общих модулей. Общие модули - это исполняемые файлы, которые загружаются в процессы для обеспечения доступа к многократно используемому коду, например к специальным пользовательским функциям или вызовам функций API ОС (т. е. Native API).
Злоумышленники могут использовать эту функциональность для выполнения произвольной полезной нагрузки на системе жертвы. Например, злоумышленники могут модулировать функциональность своих вредоносных программ в общие объекты, которые выполняют различные функции, такие как управление сетевыми коммуникациями C2 или выполнение определенных действий на объекте.
Загрузчик модулей в Linux и macOS может загружать и исполнять общие объекты из произвольных локальных путей. Эта функциональность содержится в файле `dlfcn.h` в таких функциях, как `dlopen` и `dlsym`.Хотя macOS может исполнять файлы `.so`, в обычной практике используются файлы `.dylib`.(Цитата: Apple Dev Dynamic Libraries)(Цитата: Linux Shared Libraries)(Цитата: RotaJakiro 2021 netlab360 analysis)(Цитата: Unit42 OceanLotus 2017)
Загрузчику модулей Windows можно поручить загрузку DLL из произвольных локальных путей и произвольных сетевых путей Universal Naming Convention (UNC).Эта функциональность находится в `NTDLL.dll` и является частью Windows Native API, который вызывается из функций типа `LoadLibrary` во время выполнения.(Цитата: Microsoft DLL)
https://attack.mitre.org/techniques/T1129
Визуализация смежных техник для T1129
| № | Техника |
|---|
