Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1574.007 - Перехват пути с помощью переменной окружения PATH

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1574 , T1574.001 , T1574.002 , T1574.004 , T1574.005 , T1574.006 , T1574.007 , T1574.008 , T1574.009 , T1574.010 , T1574.011 , T1574.012 , T1574.013 , T1574.014

Злоумышленники могут выполнять свои собственные вредоносные полезные нагрузки, перехватывая переменные окружения, используемые для загрузки библиотек. Переменная окружения PATH содержит список каталогов (User и System), которые ОС последовательно просматривает в поисках двоичного файла, вызванного из сценария или командной строки.

Злоумышленники могут поместить вредоносную программу в более раннюю запись в списке каталогов, хранящихся в переменной среды PATH, в результате чего операционная система при последовательном поиске по этому списку PATH выполнит вредоносный двоичный файл, а не легитимный двоичный файл.

Например, в Windows, если злоумышленник поместит вредоносную программу с именем "net.exe" в директорию `C:\example path`, которая по умолчанию предшествует `C:\Windows\system32\net.exe` в переменной окружения PATH, при выполнении "net" из командной строки будет вызван `C:\example path`, а не легитимный исполняемый файл системы по адресу `C:\Windows\system32\net.exe`.Некоторые методы выполнения программы полагаются на переменную окружения PATH для определения мест, которые ищутся, когда путь к программе не указан, например выполнение программ из интерпретатора команд и сценариев.(Цитата: ExpressVPN PATH env Windows 2021)

Злоумышленники также могут напрямую изменять переменную $PATH, указывающую каталоги для поиска. Злоумышленник может изменить переменную `$PATH` так, чтобы она указывала на каталог, к которому у него есть доступ на запись. При вызове программы, использующей переменную $PATH, ОС ищет указанный каталог и запускает вредоносный бинарник. В macOS это также можно сделать с помощью модификации переменной $HOME.Эти переменные можно изменить с помощью командной строки, launchctl, Unix Shell Configuration Modification, или изменяя содержимое папки `/etc/paths.d`.(Цитата: uptycs Fake POC linux malware 2023)(Цитата: nixCraft macOS PATH variables)(Цитата: Elastic Rules macOS launchctl 2022)

https://attack.mitre.org/techniques/T1574/007

← Назад

Визуализация смежных техник для T1574.007

Отрасль:
 с подтехниками
Техника

Закрыть