Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1574 , T1574.001 , T1574.002 , T1574.004 , T1574.005 , T1574.006 , T1574.007 , T1574.008 , T1574.009 , T1574.010 , T1574.011 , T1574.012 , T1574.013 , T1574.014
Злоумышленники могут выполнять свои собственные вредоносные полезные нагрузки путем боковой загрузки DLL. Подобно DLL Search Order Hijacking, боковая загрузка включает в себя перехват того, какую DLL загружает программа. Но вместо того, чтобы просто подставлять DLL в порядок поиска программы и ждать, пока будет вызвано приложение-жертва, злоумышленники могут напрямую подгружать полезную нагрузку, подставляя и вызывая легитимное приложение, которое выполняет их полезную нагрузку (нагрузки).
Боковая загрузка использует преимущества порядка поиска DLL, используемого загрузчиком, размещая приложение-жертву и вредоносную(ые) полезную(ые) R[-114]Cнагрузку(ы) рядом друг с другом. Скорее всего, злоумышленники используют побочную загрузку как средство маскировки действий, выполняемых ими под легитимной, доверенной и потенциально высокопоставленной системой или программным процессом. Доброкачественные исполняемые файлы, используемые для побочной загрузки полезной нагрузки, могут не быть отмечены во время доставки и/или выполнения.Вредоносные полезные нагрузки также могут быть зашифрованы/упакованы или иным образом обфусцированы до загрузки в память доверенного процесса.(Цитата: FireEye DLL Side-Loading)
https://attack.mitre.org/techniques/T1574/002
Визуализация смежных техник для T1574.002
| № | Техника |
|---|
