Техники: T1564 , T1564.001 , T1564.002 , T1564.003 , T1564.004 , T1564.005 , T1564.006 , T1564.007 , T1564.008 , T1564.009 , T1564.010 , T1564.011 , T1564.012
Злоумышленники могут обходить защитные механизмы, выполняя команды, которые скрываются от сигналов прерывания процесса. Многие операционные системы используют сигналы для передачи сообщений, управляющих поведением процессов. Интерпретаторы команд часто включают специальные команды/флаги, которые игнорируют ошибки и другие зависания, например, когда пользователь активной сессии выходит из системы.(Цитата: Linux Signal Man) Эти сигналы прерывания также могут использоваться защитными средствами и/или аналитиками для приостановки или завершения определенных запущенных процессов.
Злоумышленники могут вызывать процессы с помощью команд `nohup`, PowerShell `-ErrorAction SilentlyContinue` или аналогичных команд, которые могут быть невосприимчивы к зависаниям.(Цитата: nohup Linux Man)(Цитата: Microsoft PowerShell SilentlyContinue) Это может позволить вредоносным командам и вредоносным программам продолжать выполнение через системные события, которые иначе прервали бы их выполнение, например выход пользователей из системы или разрыв сетевого соединения C2.
Скрытие от сигналов прерывания процесса может позволить вредоносному ПО продолжить выполнение, но в отличие от Trap это не устанавливает Persistence, поскольку процесс не будет повторно вызван после фактического завершения.
https://attack.mitre.org/techniques/T1564/011
Визуализация смежных техник для T1564.011
| № | Техника |
|---|
