Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1218 , T1218.001 , T1218.002 , T1218.003 , T1218.004 , T1218.005 , T1218.007 , T1218.008 , T1218.009 , T1218.010 , T1218.011 , T1218.012 , T1218.013 , T1218.014 , T1218.015
Злоумышленники могут использовать Regsvcs и Regasm для прокси-исполнения кода через доверенную утилиту Windows. Regsvcs и Regasm - это утилиты командной строки Windows, которые используются для регистрации сборок .NET Component Object Model (COM).Обе утилиты представляют собой двоичные файлы, которые могут иметь цифровую подпись Microsoft. (Цитата: MSDN Regsvcs) (Цитата: MSDN Regasm)
Обе утилиты могут быть использованы для обхода контроля приложений с помощью атрибутов в двоичном файле, указывающих код, который должен быть запущен перед регистрацией или снятием с регистрации: [ComRegisterFunction] или [ComUnregisterFunction] соответственно. Код с атрибутами регистрации и снятия с регистрации будет выполнен, даже если процесс запущен с недостаточными привилегиями и не может быть выполнен.(Цитата: LOLBAS Regsvcs)(Цитата: LOLBAS Regasm)
https://attack.mitre.org/techniques/T1218/009
Визуализация смежных техник для T1218.009
| № | Техника |
|---|
