Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1574.008 - Перехват поиск программ

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1574 , T1574.001 , T1574.002 , T1574.004 , T1574.005 , T1574.006 , T1574.007 , T1574.008 , T1574.009 , T1574.010 , T1574.011 , T1574.012 , T1574.013 , T1574.014

Злоумышленники могут выполнять свои собственные вредоносные полезные нагрузки, перехватывая порядок поиска, используемый для загрузки других программ. Поскольку некоторые программы не вызывают другие программы, используя полный путь, злоумышленники могут поместить свой собственный файл в каталог, где находится вызывающая программа, заставив операционную систему запустить их вредоносное ПО по запросу вызывающей программы.

Перехват порядка поиска происходит, когда злоумышленник злоупотребляет порядком, в котором Windows ищет программы, к которым не указан путь. В отличие от DLL Search Order Hijacking, порядок поиска отличается в зависимости от метода, который используется для выполнения программы. (Цитата: Microsoft CreateProcess) (Цитата: Windows NT Command Shell) (Цитата: Microsoft WinExec) Однако обычно Windows ищет в каталоге инициирующей программы, прежде чем искать в системном каталоге Windows. Злоумышленник, обнаруживший программу, уязвимую к перехвату порядка поиска (т. е. программу, в которой не указан путь к исполняемому файлу), может воспользоваться этой уязвимостью, создав программу, названную в честь неправильно указанной программы, и поместив ее в каталог инициирующей программы.

Например, "example.exe" запускает "cmd.exe" с аргументом командной строки net user. Злоумышленник может поместить программу под названием "net.exe" в тот же каталог, что и example.exe, и вместо системной утилиты Windows net будет запущена программа "net.exe". Кроме того, если Злоумышленник поместит программу с именем "net.com" в тот же каталог, что и "net.exe", то cmd.exe /C net user выполнит "net.com" вместо "net.exe" из-за порядка исполняемых расширений, определенного в PATHEXT.(Цитата: Microsoft Environment Property)

Перехват порядка поиска также является распространенной практикой для перехвата загрузки DLL и рассматривается в DLL Search Order Hijacking.

https://attack.mitre.org/techniques/T1574/008

← Назад

Визуализация смежных техник для T1574.008

Отрасль:
 с подтехниками
Техника

Закрыть