Описание угрозы

Чтобы избежать обнаружения во время компрометации инфраструктуры злоумышленники могут попытаться обойти действующие системы защиты. Системы защиты можно обойти через удаление / отключение программного обеспечения безопасности, обфускацию / шифрование данных и сценариев. Злоумышленники также могут использовать надежные процессы, чтобы скрыть и замаскировать свои вредоносные программы.

Описание уязвимости

Транзакционная NTFS (TxF) — технология в ОС Windows позволяющая производить файловые операции на разделе с файловой системой NTFS при помощи транзакций, обеспечивая поддержку семантики атомарности, согласованности, изолированности и надёжности (ACID). Технология позволяет производить атомарные операции над файлом, над несколькими файлами и над несколькими источниками данных, такими, как реестр и базы данных. Технология призвана повышать надёжность создаваемых приложений, способствуя поддержанию целостности данных, и упрощать их разработку благодаря значительному уменьшению количества кода обработки ошибок.
Злоумышленник может использовать Windows Transactional NTFS (TxF) для выполнения внедрения вредоносного кода в выполняемый процесс. Операция включает в себя замену памяти легитимного процесса, позволяя завуалированное выполнение вредоносного кода легитимным процессом. Такое поведение, скорее всего, не приведет к повышенным привилегиям. Однако выполнение с помощью  легитимного процесса поможет избежать обнаружения со стороны средств защиты, поскольку выполнение маскируется под легальный процесс.

Описание типа актива

Microsoft Windows любых версий
Область действия: Вся организация
Классификация
КЦД: Целостность ?
STRIDE: Повышение привилегий ?
Источники угрозы
Внешний нарушитель - Средний потенциал ?
Внутренний нарушитель - Средний потенциал ?
Название Severity IP Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111
 - 
1
 - 
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111
 - 
1
 -