Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1574.012 - COR_PROFILER

Техники:  T1574 , T1574.001 , T1574.002 , T1574.004 , T1574.005 , T1574.006 , T1574.007 , T1574.008 , T1574.009 , T1574.010 , T1574.011 , T1574.012 , T1574.013 , T1574.014

Злоумышленники могут использовать переменную окружения COR_PROFILER для перехвата потока выполнения программ, загружающих .NET CLR. COR_PROFILER - это функция .NET Framework, которая позволяет разработчикам указывать неуправляемую (или внешнюю по отношению к .NET) профилирующую DLL, загружаемую в каждый процесс .NET, который загружает Common Language Runtime (CLR).Эти профилировщики предназначены для мониторинга, устранения неполадок и отладки управляемого кода, выполняемого .NET CLR.(Цитата: Microsoft Profiling Mar 2017)(Цитата: Microsoft COR_PROFILER Feb 2013)

Переменная окружения COR_PROFILER может быть установлена в различных масштабах (системном, пользовательском или процессном), что приводит к различным уровням влияния. Системные и пользовательские диапазоны переменной среды задаются в реестре, где объект Component Object Model (COM) может быть зарегистрирован как DLL профайлера. Область действия процесса COR_PROFILER также может быть создана в памяти без изменения реестра.Начиная с .NET Framework 4, профилирующую DLL не нужно регистрировать, если ее местоположение указано в переменной окружения COR_PROFILER_PATH.(Цитата: Microsoft COR_PROFILER Feb 2013)

Злоумышленники могут злоупотреблять COR_PROFILER для создания постоянства, которое выполняет вредоносную DLL в контексте всех процессов .NET каждый раз, когда вызывается CLR. COR_PROFILER также может быть использован для повышения привилегий (например, Bypass User Account Control), если процесс-жертва .NET выполняется с более высоким уровнем прав, а также для зацепления и Impair Defenses, предоставляемые процессами .NET.(Цитата: RedCanary Mockingbird May 2020)(Цитата: Red Canary COR_PROFILER May 2020)(Цитата: Almond COR_PROFILER Apr 2019)(Цитата: GitHub OmerYa Invisi-Shell)(Цитата: subTee .NET Profilers May 2017)

https://attack.mitre.org/techniques/T1574/012

← Назад

Визуализация смежных техник для T1574.012

Отрасль:
 с подтехниками
Техника

Закрыть