Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1218.014 - MMC

Техники:  T1218 , T1218.001 , T1218.002 , T1218.003 , T1218.004 , T1218.005 , T1218.007 , T1218.008 , T1218.009 , T1218.010 , T1218.011 , T1218.012 , T1218.013 , T1218.014 , T1218.015

Злоумышленники могут использовать mmc.exe для проксирования выполнения вредоносных файлов .msc. Microsoft Management Console (MMC) - это двоичный файл, который может быть подписан Microsoft и используется несколькими способами в графическом интерфейсе или в командной строке.(Цитата: win_mmc)(Цитата: what_is_mmc) MMC можно использовать для создания, открытия и сохранения пользовательских консолей, которые содержат инструменты администрирования, созданные Microsoft, называемые оснастками. Эти оснастки можно использовать для управления системами Windows локально или удаленно.MMC также можно использовать для открытия созданных Microsoft .msc-файлов для управления конфигурацией системы.(Цитата: win_msc_files_overview)

Например, mmc C:\Users\foo\admintools.msc /a откроет пользовательский сохраненный файл консоли msc в режиме автора.(Цитата: win_mmc) Другой распространенный пример - mmc gpedit.msc, который откроет окно приложения редактора групповой политики.

Злоумышленники могут использовать команды MMC для выполнения вредоносных задач. Например, команда mmc wbadmin.msc delete catalog -quiet удаляет каталог резервных копий системы (т. е. Inhibit System Recovery) без подсказок пользователю (Примечание: wbadmin.msc может присутствовать по умолчанию только в операционных системах Windows Server).(Цитата: win_wbadmin_delete_catalog)(Цитата: phobos_virustotal)

Злоумышленники также могут злоупотреблять MMC для выполнения вредоносных файлов .msc. Например, злоумышленники могут сначала создать вредоносный подключ реестра Class Identifier (CLSID), который однозначно идентифицирует объект класса Component Object Model.(Цитата: win_clsid_key) Затем злоумышленники могут создать пользовательские консоли с оснасткой "Link to Web Address", которая связана с вредоносным подключом CLSID.(Цитата: mmc_vulns) После сохранения файла .msc злоумышленники могут вызвать вредоносную полезную нагрузку CLSID следующей командой: mmc.exe -Embedding C:\path\to\test.msc.(Цитата: abusing_com_reg)

https://attack.mitre.org/techniques/T1218/014

← Назад

Визуализация смежных техник для T1218.014

Отрасль:
 с подтехниками
Техника

Закрыть