Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут использовать мониторы портов для запуска DLL, поставляемой злоумышленниками, во время загрузки системы для сохранения или повышения привилегий. Монитор порта может быть установлен с помощью API-вызова AddMonitor, чтобы установить DLL, загружаемую при загрузке.(Цитата: AddMonitor) Эта DLL может быть расположена в C:\Windows\System32 и будет загружена и запущена службой спулера печати, `spoolsv.exe`, с правами уровня SYSTEM при загрузке.(Цитата: Bloxham)
В качестве альтернативы можно загрузить произвольную DLL, если разрешения позволяют записать полное имя пути этой DLL в значение `Driver` существующего или нового произвольно названного подключа HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors. Ключ реестра содержит следующие записи:
* Локальный порт
* Стандартный TCP/IP-порт
* USB-монитор
* WSD-порт
https://attack.mitre.org/techniques/T1547/010
Визуализация смежных техник для T1547.010
| № | Техника |
|---|
