Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1218.002 - Панель управления

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1218 , T1218.001 , T1218.002 , T1218.003 , T1218.004 , T1218.005 , T1218.007 , T1218.008 , T1218.009 , T1218.010 , T1218.011 , T1218.012 , T1218.013 , T1218.014 , T1218.015

Злоумышленники могут использовать файл control.exe для проксирования выполнения вредоносной полезной нагрузки. Двоичный процесс панели управления Windows (control.exe) управляет выполнением элементов панели управления, которые представляют собой утилиты, позволяющие пользователям просматривать и настраивать параметры компьютера.

Элементы панели управления представляют собой зарегистрированные исполняемые файлы (.exe) или файлы панели управления (.cpl), причем последние фактически являются переименованными файлами библиотеки динамических связей (.dll), которые экспортируют функцию CPlApplet.(Цитата: Microsoft Implementing CPL)(Цитата: TrendMicro CPL Malware Jan 2014) Для удобства использования элементы панели управления обычно включают графические меню, доступные пользователям после регистрации и загрузки в панель управления.(Цитата: Microsoft Implementing CPL) Элементы панели управления могут выполняться непосредственно из командной строки, программно через вызов интерфейса прикладного программирования (API) или простым двойным щелчком по файлу.(Цитата: Microsoft Implementing CPL) (Цитата: TrendMicro CPL Malware Jan 2014)(Цитата: TrendMicro CPL Malware Dec 2013)

Вредоносные элементы панели управления могут быть доставлены с помощью фишинговых кампаний (Цитата: TrendMicro CPL Malware Jan 2014)(Цитата: TrendMicro CPL Malware Dec 2013) или выполнены как часть многоступенчатого вредоносного ПО.(Цитата: Palo Alto Reaver Nov 2017) Элементы панели управления, в частности файлы CPL, могут также обходить списки разрешенных приложений и/или расширений файлов.

Злоумышленники также могут переименовывать вредоносные DLL-файлы (.dll) в расширения файлов панели управления (.cpl) и регистрировать их в HKCU\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls. Даже если эти зарегистрированные DLL не соответствуют спецификации CPL-файлов и не экспортируют функции CPlApplet, они загружаются и выполняются через DllEntryPoint при выполнении Control Panel.Файлы CPL, не экспортирующие CPlApplet, не являются непосредственно исполняемыми.(Цитата: ESET InvisiMole June 2020)

https://attack.mitre.org/techniques/T1218/002

← Назад

Визуализация смежных техник для T1218.002

Отрасль:
 с подтехниками
Техника

Закрыть