Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1553.006 - Модификация политики подписания кода

Техники:  T1553 , T1553.001 , T1553.002 , T1553.003 , T1553.004 , T1553.005 , T1553.006

Злоумышленники могут модифицировать политики подписания кода, чтобы обеспечить выполнение неподписанного или самоподписанного кода. Подписание кода обеспечивает уровень подлинности программы от разработчика и гарантию того, что программа не была подделана. Средства контроля безопасности могут включать механизмы принудительного исполнения, гарантирующие, что в операционной системе может быть запущен только правильный, подписанный код.

Некоторые из этих средств контроля безопасности могут быть включены по умолчанию, например Driver Signature Enforcement (DSE) в Windows или System Integrity Protection (SIP) в macOS.(Цитата: Microsoft DSE June 2017)(Цитата: Apple Disable SIP) Другие средства контроля могут быть отключены по умолчанию, но настраиваются с помощью элементов управления приложениями, например, разрешать выполнение в системе только подписанных библиотек динамических линков (DLL).Поскольку разработчикам может быть полезно изменять политики применения подписи по умолчанию в процессе разработки и тестирования приложений, отключение этих функций может быть возможно с повышенными правами.(Цитата: Microsoft Unsigned Driver Apr 2017)(Цитата: Apple Disable SIP)

Злоумышленники могут изменять политики подписания кода различными способами, в том числе с помощью утилит командной строки или графического интерфейса, Modify Registry, перезагрузки компьютера в режиме отладки/восстановления или путем изменения значений переменных в памяти ядра.(Цитата: Microsoft TESTSIGNING Feb 2021)(Цитата: Apple Disable SIP)(Цитата: FireEye HIKIT Rootkit Part 2)(Цитата: GitHub Turla Driver Loader) Примеры команд, которые могут изменять политику подписания кода в системе, включают bcdedit.exe -set TESTSIGNING ON в Windows и csrutil disable в macOS.(Цитата: Microsoft TESTSIGNING Feb 2021)(Цитата: Apple Disable SIP) В зависимости от реализации, успешное изменение политики подписи может потребовать перезагрузки скомпрометированной системы. Кроме того, некоторые реализации могут создавать видимые артефакты для пользователя (например, водяной знак в углу экрана, сообщающий, что система находится в тестовом режиме).Злоумышленники могут попытаться удалить такие артефакты.(Цит. по: F-Secure BlackEnergy 2014)

Чтобы получить доступ к памяти ядра для изменения переменных, связанных с проверкой подписей, например для изменения g_CiOptions с целью отключения Driver Signature Enforcement, злоумышленники могут провести Exploitation for Privilege Escalation, используя подписанный, но уязвимый драйвер.(Цитата: Unit42 AcidBox June 2020)(Цитата: GitHub Turla Driver Loader)

https://attack.mitre.org/techniques/T1553/006

← Назад

Визуализация смежных техник для T1553.006

Отрасль:
 с подтехниками
Техника

Закрыть