Описание угрозы
Чтобы избежать обнаружения во время компрометации инфраструктуры злоумышленники могут попытаться обойти действующие системы защиты. Системы защиты можно обойти через удаление / отключение программного обеспечения безопасности, обфускацию / шифрование данных и сценариев. Злоумышленники также могут использовать надежные процессы, чтобы скрыть и замаскировать свои вредоносные программы.
Описание уязвимости
Транзакционная NTFS (TxF) — технология в ОС Windows позволяющая производить файловые операции на разделе с файловой системой NTFS при помощи транзакций, обеспечивая поддержку семантики атомарности, согласованности, изолированности и надёжности (ACID). Технология позволяет производить атомарные операции над файлом, над несколькими файлами и над несколькими источниками данных, такими, как реестр и базы данных. Технология призвана повышать надёжность создаваемых приложений, способствуя поддержанию целостности данных, и упрощать их разработку благодаря значительному уменьшению количества кода обработки ошибок.
Злоумышленник может использовать Windows Transactional NTFS (TxF) для выполнения внедрения вредоносного кода в выполняемый процесс. Операция включает в себя замену памяти легитимного процесса, позволяя завуалированное выполнение вредоносного кода легитимным процессом. Такое поведение, скорее всего, не приведет к повышенным привилегиям. Однако выполнение с помощью легитимного процесса поможет избежать обнаружения со стороны средств защиты, поскольку выполнение маскируется под легальный процесс.
Злоумышленник может использовать Windows Transactional NTFS (TxF) для выполнения внедрения вредоносного кода в выполняемый процесс. Операция включает в себя замену памяти легитимного процесса, позволяя завуалированное выполнение вредоносного кода легитимным процессом. Такое поведение, скорее всего, не приведет к повышенным привилегиям. Однако выполнение с помощью легитимного процесса поможет избежать обнаружения со стороны средств защиты, поскольку выполнение маскируется под легальный процесс.
Описание типа актива
Microsoft Windows любых версий
Область действия: Вся организация
Объекты атаки
Средство защиты информации
Классификация
КЦД:
Целостность
?
STRIDE:
Повышение привилегий
?
Источники угрозы
Внешний нарушитель -
Средний потенциал
?
Внутренний нарушитель -
Средний потенциал
?
Название | Severity | IP | Integral | |
---|---|---|---|---|
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111 |
-
|
1 |
-
|
|
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111 |
-
|
1 |
-
|