Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут модифицировать ядро таким образом, чтобы оно автоматически выполняло программы при загрузке системы. Загружаемые модули ядра (LKM) - это фрагменты кода, которые могут загружаться и выгружаться в ядро по требованию. Они расширяют функциональность ядра без необходимости перезагрузки системы.Например, одним из типов модулей является драйвер устройства, который позволяет ядру получить доступ к аппаратному обеспечению, подключенному к системе.(Цитата: Программирование ядра Linux)
При злонамеренном использовании LKM могут представлять собой разновидность руткита Rootkit, работающего в режиме ядра с наивысшими привилегиями операционной системы (Ring 0).(Цитата: Linux Kernel Module Programming Guide) Общие черты руткитов на основе LKM включают: сокрытие себя, выборочное сокрытие файлов, процессов и сетевой активности, а также подделку журналов, предоставление аутентифицированных бэкдоров и предоставление доступа к root непривилегированным пользователям.(Цитата: iDefense Rootkit Overview)
Расширения ядра, также называемые kext, используются в macOS для загрузки функциональности в систему, аналогичной LKM для Linux. Поскольку за обеспечение безопасности отвечает ядро, а расширения ядра выполняются как часть ядра, kexts не регулируются политиками безопасности macOS. Kexts загружаются и выгружаются с помощью команд kextload и kextunload. Kexts должны быть подписаны с помощью идентификатора разработчика, которому Apple предоставила привилегии, позволяющие подписывать расширения ядра. Разработчики, не имеющие таких привилегий, могут подписывать kexts, но они не будут загружаться, если не отключен SIP.Если SIP включен, подпись kext проверяется перед добавлением в AuxKC.(Цитата: Системные расширения и расширения ядра в macOS)
Начиная с macOS Catalina 10.15, расширения ядра были упразднены в пользу системных расширений.Однако kexts все еще разрешены как "Legacy System Extensions", поскольку System Extension for Kernel Programming Interfaces не существует.(Цитата: Apple Kernel Extension Deprecation)
Злоумышленники могут использовать LKMs и kexts для осуществления Persistence и/или Privilege Escalation в системе.Примеры были найдены в природе, и есть несколько соответствующих проектов с открытым исходным кодом.(Цитата: Volatility Phalanx2)(Цитата: CrowdStrike Linux Rootkit)(Цитата: GitHub Reptile)(Цитата: GitHub Diamorphine)(Цитата: RSAC 2015 San Francisco Patrick Wardle)(Цитата: Synack Secure Kernel Extension Broken)(Цитата: Securelist Ventir)(Цитата: Trend Micro Skidmap)
https://attack.mitre.org/techniques/T1547/006
Визуализация смежных техник для T1547.006
| № | Техника |
|---|
