Техники: T1574 , T1574.001 , T1574.002 , T1574.004 , T1574.005 , T1574.006 , T1574.007 , T1574.008 , T1574.009 , T1574.010 , T1574.011 , T1574.012 , T1574.013 , T1574.014
Злоумышленники могут выполнять свои собственные вредоносные полезные нагрузки, перехватывая способ загрузки сборок в .NET `AppDomainManager`. Фреймворк .NET использует класс `AppDomainManager` для создания и управления одной или несколькими изолированными средами выполнения (называемыми доменами приложений) внутри процесса для размещения исполняемых приложений .NET.Сборки (двоичные файлы `.exe` или `.dll`, скомпилированные для запуска в виде кода .NET) могут быть загружены в домен приложений в качестве исполняемого кода.(Цитата: Microsoft App Domains)
Известная как "инъекция в AppDomainManager", злоумышленники могут выполнить произвольный код, перехватив способ загрузки сборок в приложения .NET. Например, вредоносное ПО может создать собственный домен приложения внутри целевого процесса, чтобы загрузить и выполнить произвольную сборку.Кроме того, файлы конфигурации (`.config`) или переменные окружения процесса, определяющие параметры времени выполнения .NET, могут быть изменены, чтобы дать указания доброкачественным .NET-приложениям загрузить вредоносную сборку (идентифицированную по имени) в целевой процесс.(Цитата: PenTestLabs AppDomainManagerInject)(Цитата: PwC Yellow Liderc)(Цитата: Rapid7 AppDomain Manager Injection)
https://attack.mitre.org/techniques/T1574/014
Визуализация смежных техник для T1574.014
| № | Техника |
|---|
