Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут использовать пакеты аутентификации для выполнения библиотек DLL при загрузке системы. DLL-пакеты аутентификации Windows загружаются процессом Local Security Authority (LSA) при старте системы. Они обеспечивают поддержку нескольких процессов входа в систему и нескольких протоколов безопасности в операционной системе.(Цитата: MSDN Authentication Packages)
Злоумышленники могут использовать механизм автозапуска, предоставляемый пакетами аутентификации LSA, для сохранения данных, поместив ссылку на двоичный файл в местоположение реестра Windows HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ со значением ключа "Authentication Packages"=<target binary>.Этот двоичный файл будет выполняться системой при загрузке пакетов аутентификации.
https://attack.mitre.org/techniques/T1547/002
Визуализация смежных техник для T1547.002
| № | Техника |
|---|
