Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут изменять или добавлять драйверы LSASS, чтобы добиться устойчивости на взломанных системах. Подсистема безопасности Windows - это набор компонентов, которые управляют политикой безопасности компьютера или домена и обеспечивают ее выполнение. Local Security Authority (LSA) - это основной компонент, отвечающий за локальную политику безопасности и аутентификацию пользователей.LSA включает в себя множество библиотек динамических ссылок (DLL), связанных с различными другими функциями безопасности, все из которых выполняются в контексте процесса LSA Subsystem Service (LSASS) lsass.exe.(Цитата: Microsoft Security Subsystem)
Злоумышленники могут нацелиться на драйверы LSASS, чтобы получить постоянство.Заменяя или добавляя нелегитимные драйверы (например, Hijack Execution Flow), злоумышленник может использовать операции LSA для постоянного выполнения вредоносной полезной нагрузки.
https://attack.mitre.org/techniques/T1547/008
Визуализация смежных техник для T1547.008
| № | Техника |
|---|
