Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1574 , T1574.001 , T1574.002 , T1574.004 , T1574.005 , T1574.006 , T1574.007 , T1574.008 , T1574.009 , T1574.010 , T1574.011 , T1574.012 , T1574.013 , T1574.014
Злоумышленники могут выполнять свои собственные вредоносные полезные нагрузки, перехватывая уязвимые ссылки на пути к файлам. Злоумышленники могут использовать в своих интересах пути, в которых отсутствуют окружающие кавычки, помещая исполняемый файл в каталог более высокого уровня, чтобы Windows выбрала для запуска исполняемый файл злоумышленника.
Пути служб (Цитата: Microsoft CurrentControlSet Services) и пути ярлыков также могут быть уязвимы для перехвата пути, если путь содержит один или несколько пробелов и не окружен кавычками (например, C:\unsafe path with space\program.exe против "C:\safe path with space\program.exe"). (Цитата: Помогите устранить путь без кавычек) (хранится в ключах реестра Windows) Злоумышленник может поместить исполняемый файл в каталог более высокого уровня в пути, и Windows разрешит этот файл вместо предполагаемого исполняемого файла. Например, если путь в ярлыке - C:\program files\myapp.exe, злоумышленник может создать программу по адресу C:\program.exe, которая будет запущена вместо предполагаемой программы.(Цитата: Windows Unquoted Services) (Цитата: Windows Privilege Escalation Guide)
Эта техника может быть использована для сохранения, если исполняемые файлы вызываются регулярно, а также для повышения привилегий, если перехваченные исполняемые файлы запускаются процессом с более высокими привилегиями.
https://attack.mitre.org/techniques/T1574/009
Визуализация смежных техник для T1574.009
| № | Техника |
|---|
