Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017
Злоумышленники могут устанавливать постоянство и/или повышать привилегии с помощью системных механизмов, запускающих выполнение на основе определенных событий. Различные операционные системы имеют средства для мониторинга и подписки на такие события, как вход в систему или другие действия пользователя, например запуск определенных приложений/бинарных файлов.Облачные среды также могут поддерживать различные функции и службы, которые отслеживают и могут быть вызваны в ответ на определенные события в облаке.(Цитата: Backdooring an AWS account)(Цитата: Varonis Power Automate Data Exfiltration)(Цитата: Microsoft DART Case Report 001)
Злоумышленники могут использовать эти механизмы в качестве средства сохранения постоянного доступа к жертве путем многократного выполнения вредоносного кода.Получив доступ к системе жертвы, злоумышленники могут создавать/модифицировать триггеры событий, указывая на вредоносный контент, который будет выполняться при каждом вызове триггера.(Цитата: FireEye WMI 2015)(Цитата: Malware Persistence on OS X)(Цитата: amnesia malware)
Поскольку выполнение может быть проксировано учетной записью с более высокими правами, например SYSTEM или учетной записью службы, злоумышленники могут использовать эти триггерные механизмы выполнения для повышения своих привилегий.
https://attack.mitre.org/techniques/T1546
Визуализация смежных техник для T1546
| № | Техника |
|---|
