Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1548.002 - Обход контроля учетных записей пользователей

Техники:  T1548 , T1548.001 , T1548.002 , T1548.003 , T1548.004 , T1548.005 , T1548.006

Злоумышленники могут обойти механизмы UAC для повышения привилегий процессов в системе. Контроль учетных записей пользователей Windows (UAC) позволяет программе повысить свои привилегии (отслеживаемые как уровни целостности от низкого до высокого) для выполнения задачи с правами уровня администратора, возможно, запросив у пользователя подтверждение.Воздействие на пользователя варьируется от отказа в выполнении операции при высоком уровне защиты до разрешения пользователю выполнить действие, если он входит в группу локальных администраторов и пропустит запрос, или разрешения ввести пароль администратора для завершения действия.(Цитата: TechNet How UAC Works)

Если уровень защиты UAC на компьютере установлен на любой уровень, кроме самого высокого, определенные программы Windows могут повышать привилегии или выполнять некоторые повышенные Component Object Model объекты без уведомления пользователя через окно UAC.(Цитата: TechNet Inside UAC)(Цитата: MSDN COM Elevation) Примером может служить использование Rundll32 для загрузки специально созданной DLL, которая загружает автоматически повышаемый объект Component Object Model и выполняет файловую операцию в защищенном каталоге, которая обычно требует повышенного доступа.Вредоносное программное обеспечение также может быть внедрено в доверенный процесс для получения повышенных привилегий без запроса пользователя.(Цитата: Davidson Windows)

Было обнаружено множество методов обхода UAC. Страница readme на Github для UACME содержит обширный список методов (Цитата: Github UACMe), которые были обнаружены и реализованы, но он не может быть полным списком обходов. Регулярно обнаруживаются и используются дополнительные методы обхода, такие как:

* eventvwr.exe может автоматически поднять и выполнить указанный двоичный файл или сценарий.(Цитата: enigma0x3 Fileless UAC Bypass)(Цитата: Fortinet Fareit)

Другой обход возможен с помощью некоторых методов бокового перемещения, если известны учетные данные учетной записи с правами администратора, поскольку UAC - это механизм безопасности одной системы, и привилегии или целостность процесса, запущенного на одной системе, будут неизвестны на удаленных системах и по умолчанию будут иметь высокий уровень целостности.(Цитата: SANS UAC Bypass)

https://attack.mitre.org/techniques/T1548/002

← Назад

Визуализация смежных техник для T1548.002

Отрасль:
 с подтехниками
Техника

Закрыть