Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут использовать процессоры печати для запуска вредоносных DLL во время загрузки системы с целью сохранения и/или повышения привилегий.Процессоры печати - это библиотеки DLL, которые загружаются службой спулера печати, `spoolsv.exe`, во время загрузки.(Цитата: Microsoft Intro Print Processors)
Злоумышленники могут злоупотреблять службой спулера печати, добавляя процессоры печати, которые загружают вредоносные библиотеки DLL при загрузке. Процессор печати можно установить с помощью API-вызова AddPrintProcessor с учетной записью, у которой включена SeLoadDriverPrivilege. В качестве альтернативы процессор печати можно зарегистрировать в службе спулера печати, добавив ключ реестра HKLM\SYSTEM\\\[CurrentControlSet или ControlSet001]\Control\Print\Environments\\\[архитектура Windows: например, Windows x64]\Print Processors\\[определяемая пользователем]\Driver, который указывает на DLL.
Чтобы вредоносный процессор печати был правильно установлен, полезная нагрузка должна находиться в специальном системном каталоге процессора печати, который можно найти с помощью API-вызова GetPrintProcessorDirectory или сослаться на него по относительному пути из этого каталога.(Цитата: Microsoft AddPrintProcessor May 2018) После установки процессоров печати для их запуска необходимо перезапустить службу спулера печати, которая запускается при загрузке. (Цитата: ESET PipeMon May 2020)
Служба спулера печати работает с правами уровня SYSTEM, поэтому процессоры печати, установленные злоумышленником, могут работать с повышенными привилегиями.
https://attack.mitre.org/techniques/T1547/012
Визуализация смежных техник для T1547.012
| № | Техника |
|---|
