Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1574 , T1574.001 , T1574.002 , T1574.004 , T1574.005 , T1574.006 , T1574.007 , T1574.008 , T1574.009 , T1574.010 , T1574.011 , T1574.012 , T1574.013 , T1574.014
Злоумышленники могут выполнять собственную полезную нагрузку, помещая вредоносную динамическую библиотеку (dylib) с ожидаемым именем в путь, который приложение-жертва ищет во время выполнения. Динамический загрузчик будет пытаться найти dylibs, основываясь на последовательном порядке путей поиска. Пути к dylibs могут иметь префикс @rpath, что позволяет разработчикам использовать относительные пути для указания массива путей поиска, используемых во время выполнения, в зависимости от местоположения исполняемого файла. Кроме того, если используется слабая компоновка, например, функция LC_LOAD_WEAK_DYLIB, приложение будет выполняться, даже если ожидаемый dylib отсутствует. Слабое связывание позволяет разработчикам запускать приложение на нескольких версиях macOS по мере добавления новых API.
Злоумышленники могут получить возможность выполнения, вставив в указанный путь вредоносный dylib с именем отсутствующего dylib.(Цитата: Wardle Dylib Hijack Vulnerable Apps)(Цитата: Wardle Dylib Hijacking OSX 2015)(Цитата: Github EmpireProject HijackScanner)(Цитата: Github EmpireProject CreateHijacker Dylib) Dylib загружаются в адресное пространство приложения, позволяя вредоносному dylib наследовать уровень привилегий и ресурсы приложения. В зависимости от приложения это может привести к повышению уровня привилегий и несанкционированному доступу к сети.Этот метод также может ускользнуть от обнаружения средствами защиты, поскольку выполнение маскируется под легитимный процесс.(Цитата: Writing Bad Malware for OSX)(Цитата: wardle artofmalware volume1)(Цитата: MalwareUnicorn macOS Dylib Injection MachO)
https://attack.mitre.org/techniques/T1574/004
Визуализация смежных техник для T1574.004
| № | Техника |
|---|
