Техники: T1564 , T1564.001 , T1564.002 , T1564.003 , T1564.004 , T1564.005 , T1564.006 , T1564.007 , T1564.008 , T1564.009 , T1564.010 , T1564.011 , T1564.012
Злоумышленники могут пытаться скрыть аргументы командной строки процесса путем перезаписи памяти процесса. Аргументы командной строки процесса хранятся в блоке окружения процесса (PEB) - структуре данных, используемой Windows для хранения различной информации о процессе. PEB включает аргументы командной строки процесса, на которые ссылаются при выполнении процесса.Когда процесс создается, защитные инструменты/датчики, отслеживающие создание процессов, могут получить аргументы процесса из PEB.(Цитата: Microsoft PEB 2021)(Цитата: Xpn Argue Like Cobalt 2019)
Злоумышленники могут манипулировать PEB процесса, чтобы обойти защиту. Например, Process Hollowing может быть использован для порождения процесса в приостановленном состоянии с доброкачественными аргументами. После того как процесс порожден и PEB инициализирован (а информация о процессе потенциально регистрируется инструментами/датчиками), злоумышленники могут переопределить PEB, чтобы изменить аргументы командной строки (например, используя Native API WriteProcessMemory() функцию), а затем возобновить выполнение процесса с вредоносными аргументами.(Цитата: Cobalt Strike Arguments 2019)(Цитата: Xpn Argue Like Cobalt 2019)(Цитата: Nviso Spoof Command Line 2020)
Злоумышленники также могут запускать процесс с вредоносными аргументами командной строки, а затем исправлять память доброкачественными аргументами, которые могут обойти последующий анализ памяти процесса.(Цитата: FireEye FiveHands April 2021)
Такое поведение может сочетаться с другими трюками (например, Parent PID Spoofing) для манипуляции или дальнейшего обхода обнаружений на основе процессов.
https://attack.mitre.org/techniques/T1564/010
Визуализация смежных техник для T1564.010
| № | Техника |
|---|
