Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017
Злоумышленники могут установить постоянство, выполняя вредоносное содержимое, вызванное перехваченными ссылками на объекты Component Object Model (COM). COM - это система в Windows, обеспечивающая взаимодействие между программными компонентами через операционную систему.(Цитата: Microsoft Component Object Model) Ссылки на различные COM-объекты хранятся в реестре.
Злоумышленники могут использовать систему COM для вставки вредоносного кода, который может быть выполнен вместо легитимного программного обеспечения путем перехвата ссылок и отношений COM в качестве средства сохранения. Для захвата COM-объекта требуется внести изменения в реестр, чтобы заменить ссылку на легитимный системный компонент, что может привести к тому, что этот компонент не будет работать при выполнении.Когда этот компонент системы выполняется в ходе нормальной работы системы, вместо него будет выполнен код Злоумышленника.(Цитата: GDATA COM Hijacking) Злоумышленник, скорее всего, будет захватывать объекты, которые используются достаточно часто, чтобы поддерживать постоянный уровень стойкости, но вряд ли нарушат заметную функциональность в системе, чтобы избежать нестабильности системы, которая может привести к обнаружению.
https://attack.mitre.org/techniques/T1546/015
Визуализация смежных техник для T1546.015
| № | Техника |
|---|
