Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1546.016 - Пакеты установщика

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017

Злоумышленники могут установить постоянство и повысить привилегии, используя программу установки для запуска выполнения вредоносного содержимого. Пакеты установщика зависят от конкретной ОС и содержат ресурсы, необходимые операционной системе для установки приложений в систему. В состав пакетов установщика могут входить сценарии, которые запускаются как перед установкой, так и после ее завершения. Сценарии установщика могут наследовать повышенные разрешения при выполнении.Разработчики часто используют эти сценарии для подготовки среды к установке, проверки требований, загрузки зависимостей и удаления файлов после установки.(Цитата: Installer Package Scripting Rich Trouton)

Используя легитимные приложения, злоумышленники распространяют приложения с модифицированными сценариями установки для выполнения вредоносного содержимого. Когда пользователь устанавливает приложение, от него могут потребовать предоставить административные права, чтобы разрешить установку. По окончании процесса установки легитимного приложения с унаследованными повышенными правами может быть выполнен такой контент, как скрипты `постинсталляции` macOS.Злоумышленники могут использовать эти сценарии для выполнения вредоносного исполняемого файла или установки других вредоносных компонентов (например, Launch Daemon) с повышенными правами.(Цитата: Application Bundle Manipulation Brandon Dalton)(Цитата: wardle evilquest parti)(Цитата: Windows AppleJeus GReAT)(Цитата: Debian Manual Maintainer Scripts)

В зависимости от дистрибутива, Linux-версии сценариев установки пакетов иногда называются сценариями сопровождения или сценариями после установки. Эти сценарии могут включать скрипты `preinst`, `postinst`, `prerm`, `postrm` и запускаться от имени root при выполнении.

Для Windows служба Microsoft Installer использует файлы `.msi` для управления установкой, обновлением и удалением приложений.Эти процедуры установки могут также содержать инструкции по выполнению дополнительных действий, которые могут быть использованы злоумышленниками.(Цит. по: Процедуры установки Microsoft)

https://attack.mitre.org/techniques/T1546/016

← Назад

Визуализация смежных техник для T1546.016

Отрасль:
 с подтехниками
Техника

Закрыть