Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы:
управление рисками, контроль соответствия требованиям, учет активов,
планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Угроза
Обход систем защиты
из-за уязвимости
Возможность захвата потока выполнения (thread) легитимного процесса
в Активе
ОС Windows
Описание угрозы
Чтобы избежать обнаружения во время компрометации инфраструктуры злоумышленники могут попытаться обойти действующие системы защиты. Системы защиты можно обойти через удаление / отключение программного обеспечения безопасности, обфускацию / шифрование данных и сценариев. Злоумышленники также могут использовать надежные процессы, чтобы скрыть и замаскировать свои вредоносные программы.
Описание уязвимости
Захват потока выполнения (Thread Hijacking) осуществляется путем приостановки существующего процесса, а затем подмены используемого процессом адресного пространства оперативной памяти вредоносным кодом или путем к DLL.
Выполнение кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным/сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение вредоносного кода через захват потока выполнения процесса также помогает избежать обнаружения со стороны систем защиты, поскольку выполнение маскируется под легальный процесс.
Подробнее о потоках выполнения
Выполнение кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным/сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение вредоносного кода через захват потока выполнения процесса также помогает избежать обнаружения со стороны систем защиты, поскольку выполнение маскируется под легальный процесс.
Подробнее о потоках выполнения
Описание типа актива
Microsoft Windows любых версийОбъекты атаки
Средство защиты информации
Классификация
КЦД:
Целостность
?
Целостность / integrity Свойство сохранения правильности и полноты активов.
STRIDE:
Повышение привилегий
?
Повышение привилегий / Elevation of privilege Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений де...
Источники угрозы
Внешний нарушитель -
Средний потенциал
?
Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель -
Средний потенциал
?
Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, несмотря на то...
Техники ATT@CK:
T1055.003
Process Injection:
Thread Execution Hijacking
Adversaries may inject malicious code into hijacked processes in order to evade process-based defenses as well as possibly eleva...
Связанные защитные меры
Ничего не найдено