Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы:
управление рисками, контроль соответствия требованиям, учет активов,
планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Описание угрозы
Чтобы избежать обнаружения во время компрометации инфраструктуры злоумышленники могут попытаться обойти действующие системы защиты. Системы защиты можно обойти через удаление / отключение программного обеспечения безопасности, обфускацию / шифрование данных и сценариев. Злоумышленники также могут использовать надежные процессы, чтобы скрыть и замаскировать свои вредоносные программы.
Описание уязвимости
Выполнение кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным/сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение с помощью внедрения через процедуры APC также может избежать обнаружения со стороны средств защиты, поскольку ВПО маскируется под легитимный процесс. Существует несколько возможностей внедрить исполняемый код в процедуры APC.
Внедрение в процедуры APC может выполняться путем присоединения вредоносного кода к очереди APC потока процесса. Так же существует разновидность внедрения в APC, получившая название «Инъекция ранней пташки (Earle Bird injection)», которая включает в себя приостановление процесса, в котором вредоносный код может быть внедрен и выполнен до точки входа процесса через APC. "AtomBombing" это еще одна вариация, которая использует APC для вызова вредоносного кода, ранее записанного в глобальную таблицу atom (Global atom table).
Внедрение в процедуры APC может выполняться путем присоединения вредоносного кода к очереди APC потока процесса. Так же существует разновидность внедрения в APC, получившая название «Инъекция ранней пташки (Earle Bird injection)», которая включает в себя приостановление процесса, в котором вредоносный код может быть внедрен и выполнен до точки входа процесса через APC. "AtomBombing" это еще одна вариация, которая использует APC для вызова вредоносного кода, ранее записанного в глобальную таблицу atom (Global atom table).
Описание типа актива
Microsoft Windows любых версийОбъекты атаки
Средство защиты информации
Классификация
КЦД:
Целостность
?
Целостность / integrityCвойство сохранения правильности и полноты активов.
STRIDE:
Повышение привилегий
?
Повышение привилегий / Elevation of privilegeПредоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений дей...
Источники угрозы
Внешний нарушитель -
Средний потенциал
?
Внешний нарушительНаходящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель д...
Внутрений нарушитель -
Средний потенциал
?
Внутрений нарушительПод внутренним нарушителем понимают нарушителя, находящегося внутри информационной системы на момент начала реализации угрозы.
К внутренним...
Связанные защитные меры
Ничего не найдено