Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1546.011 - Подсистема обратной совместимости приложений

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017

Злоумышленники могут установить постоянство и/или повысить привилегии, выполняя вредоносное содержимое, запускаемое шиммированием приложений. Инфраструктура/фреймворк совместимости приложений Microsoft Windows (Application Shim) была создана для обеспечения обратной совместимости программного обеспечения при изменении кодовой базы операционной системы с течением времени. Например, функция шиммирования приложений позволяет разработчикам применять исправления к приложениям (без переписывания кода), которые были созданы для Windows XP, чтобы они работали в Windows 10.(Цитата: Elastic Process Injection July 2017)

В рамках фреймворка создаются шимы, выполняющие роль буфера между программой (точнее, таблицей адресов импорта) и ОС Windows. Когда программа выполняется, кэш shim обращается к ней, чтобы определить, требует ли программа использования базы данных shim (.sdb). Если да, то база данных shim использует хукинг для перенаправления кода, необходимого для взаимодействия с ОС.

Список всех шимов, установленных в настоящее время программой установки Windows по умолчанию (sdbinst.exe), хранится в:

* %WINDIR%\AppPatch\sysmain.sdb и
* hklm\software\microsoft\windows nt\currentversion\appcompatflags\installedsdb

Пользовательские базы данных хранятся в:

* %WINDIR%\AppPatch\custom & %WINDIR%\AppPatch\AppPatch64\Custom и
* hklm\software\microsoft\windows nt\currentversion\appcompatflags\custom

Чтобы обеспечить безопасность шимов, Windows разработала их для работы в пользовательском режиме, поэтому они не могут изменять ядро, и для установки шима необходимо иметь привилегии администратора. Тем не менее, некоторые шимы могут быть использованы для Обхода контроля учетных записей пользователей (UAC и RedirectEXE), внедрения DLL в процессы (InjectDLL), отключения Data Execution Prevention (DisableNX) и Structure Exception Handling (DisableSEH), а также для перехвата адресов памяти (GetProcAddress).

Использование этих шиммов может позволить злоумышленнику совершить несколько вредоносных действий, таких как повышение привилегий, установка бэкдоров, отключение таких защитных систем, как Windows Defender, и т. д. (Цитата: FireEye Application Shimming) Шиммы также могут быть использованы для установления постоянства путем постоянного вызова пораженных программ.

https://attack.mitre.org/techniques/T1546/011

← Назад

Визуализация смежных техник для T1546.011

Отрасль:
 с подтехниками
Техника

Закрыть