Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1574.005 - Недостатки прав доступа к исполняемым файлам программ установки

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1574 , T1574.001 , T1574.002 , T1574.004 , T1574.005 , T1574.006 , T1574.007 , T1574.008 , T1574.009 , T1574.010 , T1574.011 , T1574.012 , T1574.013 , T1574.014

Злоумышленники могут выполнять собственные вредоносные полезные нагрузки, перехватывая двоичные файлы, используемые программой установки. Эти процессы могут автоматически выполнять определенные двоичные файлы в рамках своей функциональности или для выполнения других действий. Если права на каталог файловой системы, содержащий целевой двоичный файл, или права на сам двоичный файл установлены неправильно, то целевой двоичный файл может быть перезаписан другим двоичным файлом с правами уровня пользователя и выполнен исходным процессом. Если исходный процесс и поток выполняются с более высоким уровнем прав, то замененный двоичный файл также будет выполняться с правами более высокого уровня, которые могут включать SYSTEM.

Другая вариация этой техники может быть реализована с использованием слабого места, характерного для исполняемых самораспаковывающихся инсталляторов. В процессе установки программы установки обычно используют подкаталог в каталоге %TEMP% для распаковки двоичных файлов, таких как DLL, EXE или других полезных нагрузок. Когда программы установки создают подкаталоги и файлы, они часто не устанавливают соответствующие разрешения для ограничения доступа на запись, что позволяет выполнять недоверенный код, размещенный в подкаталогах, или перезаписывать двоичные файлы, используемые в процессе установки. Такое поведение связано с DLL Search Order Hijacking и может быть использовано в своих интересах.

Злоумышленники могут использовать эту технику для замены легитимных двоичных файлов на вредоносные в качестве средства выполнения кода на более высоком уровне прав доступа. Некоторые программы установки могут также требовать повышенных привилегий, что приведет к повышению привилегий при выполнении управляемого злоумышленниками кода. Такое поведение связано с Bypass User Account Control.Производителям программного обеспечения было сообщено о нескольких примерах этой слабости в существующих распространенных программах установки.(Цитата: mozilla_sec_adv_2012)Цитата: Executable Installers are Vulnerable) Если исполняемый процесс настроен на запуск в определенное время или во время определенного события (например, загрузки системы), то эта техника также может быть использована для сохранения.

https://attack.mitre.org/techniques/T1574/005

← Назад

Визуализация смежных техник для T1574.005

Отрасль:
 с подтехниками
Техника

Закрыть