Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017
Злоумышленники могут установить постоянство и/или повысить привилегии, выполняя вредоносное содержимое, запускаемое отладчиками Image File Execution Options (IFEO). IFEO позволяют разработчику подключить отладчик к приложению. Когда создается процесс, отладчик, присутствующий в IFEO приложения, будет добавлен к имени приложения, эффективно запуская новый процесс под управлением отладчика (например, C:\dbg\ntsd.exe -g notepad.exe).(Цит. по: Microsoft Dev Blog IFEO Mar 2010)
IFEO можно установить непосредственно в реестре или в глобальных флагах с помощью инструмента GFlags. (Цит. по: Microsoft GFlags Mar 2017) IFEO представлены как значения Debugger в реестре в разделе HKLM\SOFTWARE{\Wow6432Node}\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\, где <executable> - это двоичный файл, к которому подключен отладчик.(Цитата: Microsoft Dev Blog IFEO Mar 2010)
IFEO также могут позволить запустить произвольную программу мониторинга, когда указанная программа тихо завершается (т. е. преждевременно завершается сама или вторым процессом, не входящим в режим ядра). (Цитата: Microsoft Silent Process Exit NOV 2017) (Цитата: Oddvar Moe IFEO APR 2018) Подобно отладчикам, мониторинг тихого выхода может быть включен через GFlags и/или путем непосредственной модификации значений IFEO и тихого выхода процесса в реестре в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\.(Цитата: Microsoft Silent Process Exit NOV 2017) (Цитата: Oddvar Moe IFEO APR 2018)
Как и в Accessibility Features, в Windows Vista и более поздних версиях, а также в Windows Server 2008 и более поздних версиях может быть изменен ключ реестра, который настраивает "cmd.exe" или другую программу, предоставляющую черный доступ, как "отладчик" для программы доступности (например, utilman.exe). После внесения изменений в реестр нажатие соответствующей комбинации клавиш на экране входа в систему с клавиатуры или при подключении по протоколу Remote Desktop Protocol приведет к выполнению программы-"отладчика" с привилегиями SYSTEM.(Цит. по: Tilbury 2014)
Подобно Process Injection, эти значения также могут быть использованы для повышения привилегий путем загрузки и запуска вредоносного исполняемого файла в контексте отдельных процессов на компьютере. (Цитата: Elastic Process Injection July 2017) Установка механизмов IFEO также может обеспечить постоянство через непрерывный вызов.
Вредоносное ПО также может использовать IFEO для Impair Defenses, регистрируя недействительные отладчики, которые перенаправляют и эффективно отключают различные системные приложения и приложения безопасности.(Цит. по: FSecure Hupigon) (Цит. по: Symantec Ushedix June 2008)
https://attack.mitre.org/techniques/T1546/012
Визуализация смежных техник для T1546.012
| № | Техника |
|---|
