Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

Повышение привилегий — это использование компьютерного бага, уязвимостей, ошибки в конфигурации операционной системы или программного обеспечения с целью повышения уровня доступа к вычислительным ресурсам, которые обычно защищены от пользователя. В итоге, приложение, обладающее большими полномочиями, чем предполагалось системным администратором, может совершать неавторизированные действия. Повышением привилегий называют ситуацию, когда пользователь компьютерной системы каким-либо образом повышает свои полномочия в этой системе (другими словами: получил возможность делать то, чего прежде делать не мог).

Описание уязвимости

Выполнение кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным/сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение с помощью внедрения через процедуры APC также может избежать обнаружения со стороны средств защиты, поскольку ВПО маскируется под легитимный процесс. Существует несколько возможностей внедрить исполняемый код  в процедуры APC.
Внедрение в процедуры APC может выполняться путем присоединения вредоносного кода к очереди APC потока процесса. Так же существует разновидность внедрения в APC, получившая название «Инъекция ранней пташки (Earle Bird injection)», которая включает в себя приостановление процесса, в котором вредоносный код может быть внедрен и выполнен до точки входа процесса через APC. "AtomBombing" это еще одна вариация, которая использует APC для вызова вредоносного кода, ранее записанного в глобальную таблицу atom (Global atom table).

Описание типа актива

Microsoft Windows любых версий
Область действия: Вся организация
Объекты атаки Операционная система
Классификация
КЦД: Целостность ?
STRIDE: Повышение привилегий ?
Источники угрозы
Внешний нарушитель - Средний потенциал ?
Внутренний нарушитель - Средний потенциал ?

Каталоги

Техники ATT@CK:
T1055.004 Process Injection: Asynchronous Procedure Call
Adversaries may inject malicious code into processes via the asynchronous procedure call (APC) queue in order to evade process-b...

Связанные защитные меры

Ничего не найдено