Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017
Злоумышленники могут добиться устойчивости, выполняя вредоносное содержимое, вызванное ассоциацией типов файлов. При открытии файла проверяется программа, используемая по умолчанию для его открытия (также называемая ассоциацией файлов или обработчиком). Выбор ассоциации файлов хранится в реестре Windows и может быть отредактирован пользователями, администраторами или программами, имеющими доступ к реестру, или администраторами с помощью встроенной утилиты assoc.(Цитата: Microsoft Change Default Programs)(Цитата: Microsoft File Handlers)(Цитата: Microsoft Assoc Oct 2017) Приложения могут изменить ассоциацию файлов для данного расширения файла, чтобы вызвать произвольную программу при открытии файла с данным расширением.
Системные ассоциации файлов перечислены в разделе HKEY_CLASSES_ROOT\.[extension], например HKEY_CLASSES_ROOT\.txt. Эти записи указывают на обработчик для данного расширения, расположенный по адресу HKEY_CLASSES_ROOT\\[handler]. Затем различные команды перечисляются в качестве подклассов под ключом оболочки по адресу HKEY_CLASSES_ROOT\\\[handler]\shell\\\[action]\command. Например:
* HKEY_CLASSES_ROOT\txtfile\shell\open\command
* HKEY_CLASSES_ROOT\txtfile\shell\print\command
* HKEY_CLASSES_ROOT\txtfile\shell\printto\command
Значения перечисленных ключей являются командами, которые выполняются, когда обработчик открывает расширение файла.Злоумышленники могут изменить эти значения, чтобы постоянно выполнять произвольные команды.(Цит. по: TrendMicro TROJ-FAKEAV OCT 2012)
https://attack.mitre.org/techniques/T1546/001
Визуализация смежных техник для T1546.001
| № | Техника |
|---|
