Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017
Злоумышленники могут получить постоянство и повысить привилегии, выполняя вредоносное содержимое, запускаемое профилями PowerShell. Профиль PowerShell (profile.ps1) - это сценарий, который запускается при запуске PowerShell и может использоваться в качестве сценария входа в систему для настройки пользовательского окружения.
PowerShell поддерживает несколько профилей в зависимости от пользователя или хост-программы. Например, для хост-программ PowerShell, таких как консоль PowerShell, PowerShell ISE или Visual Studio Code, могут быть разные профили. Администратор также может настроить профиль, который применяется ко всем пользователям и хост-программам на локальном компьютере.(Цит. по: Microsoft О профилях)
Злоумышленники могут модифицировать эти профили, включив в них произвольные команды, функции, модули и/или диски PowerShell, чтобы добиться стойкости. Каждый раз, когда пользователь открывает сеанс PowerShell, модифицированный сценарий будет выполняться, если при его запуске не используется флаг -NoProfile.(Цит. по: ESET Turla PowerShell May 2019)
Злоумышленник также может повысить привилегии, если сценарий в профиле PowerShell загружается и выполняется учетной записью с более высокими привилегиями, например администратором домена.(Цит. по: Wits End и теневые профили PowerShell)
https://attack.mitre.org/techniques/T1546/013
Визуализация смежных техник для T1546.013
| № | Техника |
|---|
