Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

Чтобы избежать обнаружения во время компрометации инфраструктуры злоумышленники могут попытаться обойти действующие системы защиты. Системы защиты можно обойти через удаление / отключение программного обеспечения безопасности, обфускацию / шифрование данных и сценариев. Злоумышленники также могут использовать надежные процессы, чтобы скрыть и замаскировать свои вредоносные программы.

Описание уязвимости

Злоумышленник может выполнять ВПО, подменяя двоичные файлы, используемые установщиком для закрепления в системе, повышения привилегий или для обхода средств защиты. Если разрешения на каталог файловой системы, содержащий целевой двоичный файл, или разрешения на сам двоичный файл установлены неправильно, то целевой двоичный файл может быть перезаписан другим двоичным файлом с использованием разрешений уровня пользователя и выполнен исходным процессом. Если исходный процесс и поток выполняются с более высоким уровнем разрешений, то замененный двоичный файл также будет выполняться с более высокими разрешениями, например под встроенной учетной записью СИСТЕМА.
Некоторые установщики также могут требовать повышенных привилегий, что приведет к повышению привилегий при выполнении ВПО, например для обхода контроля учетных записей пользователей.

Описание типа актива

Microsoft Windows любых версий
Область действия: Вся организация
Классификация
КЦД: Целостность ?
STRIDE: Повышение привилегий ?
Источники угрозы
Внешний нарушитель - Средний потенциал ?
Внутренний нарушитель - Средний потенциал ?

Каталоги

Техники ATT@CK:
T1574.005 Hijack Execution Flow: Executable Installer File Permissions Weakness
Adversaries may execute their own malicious payloads by hijacking the binaries used by an installer. These processes may automat...

Связанные защитные меры

Ничего не найдено