Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1134.004 - Подмена родительского PID

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1134 , T1134.001 , T1134.002 , T1134.003 , T1134.004 , T1134.005

Злоумышленники могут подменить идентификатор родительского процесса (PPID) нового процесса, чтобы обойти средства защиты от мониторинга процессов или повысить привилегии. Новые процессы обычно порождаются непосредственно из родительского, или вызывающего, процесса, если это не указано явно. Одним из способов явного назначения PPID нового процесса является вызов API CreateProcess, который поддерживает параметр, определяющий используемый PPID.(Цитата: DidierStevens SelectMyParent Nov 2009) Эта функциональность используется такими функциями Windows, как User Account Control (UAC), для правильной установки PPID после того, как запрошенный процесс с повышенными правами порождается SYSTEM (обычно через svchost.exe или consent.exe), а не в контексте текущего пользователя.(Цитата: Microsoft UAC Nov 2018)

Злоумышленники могут злоупотреблять этими механизмами, чтобы обойти средства защиты, например блокирующие процессы, порожденные непосредственно из документов Office, и анализ, направленный на необычные/потенциально вредоносные отношения между родительскими и дочерними процессами, например подмену PPID в PowerShell/Rundll32 для explorer.exe, а не документа Office, доставленного как часть Spearphishing Attachment.(Цитата: CounterCept PPID Spoofing Dec 2018) Эта подмена может быть выполнена через Visual Basic внутри вредоносного документа Office или любого кода, который может выполнять Native API.(Цитата: CTD PPID Spoofing Macro Mar 2019)(Цитата: CounterCept PPID Spoofing Dec 2018)

Явное назначение PPID может также обеспечить повышенные привилегии при наличии соответствующих прав доступа к родительскому процессу.Например, злоумышленник в контексте привилегированного пользователя (т. е. администратора) может породить новый процесс и назначить его родителем процесс, запущенный от имени SYSTEM (например, lsass.exe), в результате чего новый процесс получит повышенные права через унаследованный маркер доступа.(Цит. по: XPNSec PPID Nov 2017)

https://attack.mitre.org/techniques/T1134/004

← Назад

Визуализация смежных техник для T1134.004

Отрасль:
 с подтехниками
Техника

Закрыть