MITRE ATT&CK - Техника Злоупотребление процессом KernelCallbackTable

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Hijack Execution Flow: Злоупотребление процессом KernelCallbackTable

Other sub-techniques of Hijack Execution Flow (12)

ID	Название
.001	Перехват поиска DLL-библиотек
.002	Загрузка сторонних DLL-библиотек
.004	Перехват поиска dylib-библиотек
.005	Недостатки разрешений для исполняемых файлов установщика
.006	Переменная окружения LD_PRELOAD
.007	Изменение переменной окружения PATH
.008	Перехват поиска программ
.009	Перехват поиска через не заключенный в кавычки путь
.010	Недостатки разрешений для файлов служб
.011	Недостатки разрешений для реестра служб
.012	Переменная окружения COR_PROFILER
.013	Злоупотребление процессом KernelCallbackTable

Adversaries may abuse the KernelCallbackTable of a process to hijack its execution flow in order to run their own payloads.(Citation: Lazarus APT January 2022)(Citation: FinFisher exposed ) The KernelCallbackTable can be found in the Process Environment Block (PEB) and is initialized to an array of graphic functions available to a GUI process once user32.dll is loaded.(Citation: Windows Process Injection KernelCallbackTable) An adversary may hijack the execution flow of a process using the KernelCallbackTable by replacing an original callback function with a malicious payload. Modifying callback functions can be achieved in various ways involving related behaviors such as Reflective Code Loading or Process Injection into another process. A pointer to the memory address of the KernelCallbackTable can be obtained by locating the PEB (ex: via a call to the NtQueryInformationProcess() Native API function).(Citation: NtQueryInformationProcess) Once the pointer is located, the KernelCallbackTable can be duplicated, and a function in the table (e.g., fnCOPYDATA) set to the address of a malicious payload (ex: via WriteProcessMemory()). The PEB is then updated with the new address of the table. Once the tampered function is invoked, the malicious payload will be triggered.(Citation: Lazarus APT January 2022) The tampered function is typically invoked using a Windows message. After the process is hijacked and malicious code is executed, the KernelCallbackTable may also be restored to its original state by the rest of the malicious payload.(Citation: Lazarus APT January 2022) Use of the KernelCallbackTable to hijack execution flow may evade detection from security products since the execution can be masked under a legitimate process.

ID: T1574.013

Относится к технике: T1574

Тактика(-и): Defense Evasion, Persistence, Privilege Escalation

Платформы: Windows

Источники данных: Process: OS API Execution

Версия: 1.0

Дата создания: 25 Feb 2022

Последнее изменение: 22 Mar 2022

Название	Описание
Примеры процедур
Lazarus Group	Lazarus Group has abused the `KernelCallbackTable` to hijack process control flow and execute shellcode.(Citation: Lazarus APT January 2022)(Citation: Qualys LolZarus)
FinFisher	FinFisher has used the `KernelCallbackTable` to hijack the execution flow of a process by replacing the `__fnDWORD` function with the address of a created Asynchronous Procedure Call stub routine.(Citation: FinFisher exposed )

Контрмера	Описание
Контрмеры
Behavior Prevention on Endpoint	Use capabilities to prevent suspicious behavior patterns from occurring on endpoint systems. This could include suspicious process, file, API call, etc. behavior.

Обнаружение

Analyze process behavior to determine if a process is performing actions it usually does not, such as opening network connections, reading files, or other suspicious behaviors that could relate to post-compromise behavior. Monitoring Windows API calls indicative of the various types of code injection may generate a significant amount of data and may not be directly useful for defense unless collected under specific circumstances. for known bad sequence of calls, since benign use of API functions may be common and difficult to distinguish from malicious behavior. Windows API calls such as WriteProcessMemory() and NtQueryInformationProcess() with the parameter set to ProcessBasicInformation may be used for this technique.(Citation: Lazarus APT January 2022)

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.