Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1574 , T1574.001 , T1574.002 , T1574.004 , T1574.005 , T1574.006 , T1574.007 , T1574.008 , T1574.009 , T1574.010 , T1574.011 , T1574.012 , T1574.013 , T1574.014
Злоумышленники могут выполнять собственные вредоносные полезные нагрузки, перехватывая двоичные файлы, используемые службами. Злоумышленники могут использовать недостатки в разрешениях служб Windows для замены двоичного файла, выполняемого при запуске службы. Эти процессы служб могут автоматически выполнять определенные двоичные файлы в рамках своей функциональности или для выполнения других действий. Если разрешения на каталог файловой системы, содержащий целевой двоичный файл, или разрешения на сам двоичный файл установлены неправильно, то целевой двоичный файл может быть заменен другим двоичным файлом с правами пользователя и выполнен исходным процессом. Если исходный процесс и поток выполняются с более высоким уровнем прав, то замененный двоичный файл также будет выполняться с правами более высокого уровня, которые могут включать SYSTEM.
Злоумышленники могут использовать эту технику для замены легитимных двоичных файлов на вредоносные в качестве средства выполнения кода на более высоком уровне прав.Если исполняемый процесс настроен на запуск в определенное время или во время определенного события (например, загрузки системы), то эта техника также может быть использована для сохранения.
https://attack.mitre.org/techniques/T1574/010
Визуализация смежных техник для T1574.010
| № | Техника |
|---|
