Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017
Злоумышленники могут установить постоянство и/или повысить привилегии, выполняя вредоносное содержимое, инициированное загруженными в процессы библиотеками AppCert DLL. Библиотеки динамической связи (DLL), указанные в ключе реестра AppCertDLLs в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\, загружаются в каждый процесс, который вызывает повсеместно используемые функции интерфейса прикладного программирования (API) CreateProcess, CreateProcessAsUser, CreateProcessWithLoginW, CreateProcessWithTokenW, или WinExec.(Цитата: Elastic Process Injection July 2017)
Подобно Process Injection, этим значением можно злоупотреблять для получения повышенных привилегий, заставляя вредоносную DLL загружаться и запускаться в контексте отдельных процессов на компьютере.Вредоносные библиотеки AppCert DLL также могут обеспечивать постоянство, постоянно вызываясь активностью API.
https://attack.mitre.org/techniques/T1546/009
Визуализация смежных техник для T1546.009
| № | Техника |
|---|
