Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Описание угрозы
После получения доступа к операционной системе злоумышленник может закрепиться в ней и продолжить получать доступ к системе вне зависимости от прерываний доступа.
Описание уязвимости
Профиль PowerShell (profile.ps1) - это сценарий PowerShell, который запускается при запуске оболочки PowerShell и может использоваться в качестве сценария входа в систему для настройки пользовательских сред.
PowerShell поддерживает несколько профилей в зависимости от пользователя или оболочек. Например, могут существовать различные профили для хост-программ PowerShell, таких как консоль PowerShell, PowerShell ISE или Visual Studio Code.
Злоумышленник может изменить эти профили-скрипты, включив в них произвольные команды, чтобы закрепиться в инфраструктуре, а также может повысить привилегии, если сценарий в профиле PowerShell загружается и выполняется учетной записью с более высокими привилегиями.
PowerShell поддерживает несколько профилей в зависимости от пользователя или оболочек. Например, могут существовать различные профили для хост-программ PowerShell, таких как консоль PowerShell, PowerShell ISE или Visual Studio Code.
Злоумышленник может изменить эти профили-скрипты, включив в них произвольные команды, чтобы закрепиться в инфраструктуре, а также может повысить привилегии, если сценарий в профиле PowerShell загружается и выполняется учетной записью с более высокими привилегиями.
Описание типа актива
Microsoft Windows любых версий
Объекты атаки
Операционная система
Классификация
STRIDE:
Повышение привилегий
?
Повышение привилегий / Elevation of privilege Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений де...
Иное:
НСД
?
Несанкционированный доступ / Unauthorized access Доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа инф...
Источники угрозы
Внутренний нарушитель -
Низкий потенциал
?
Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, несмотря на то...
Техники ATT@CK:
T1546.013
Event Triggered Execution:
PowerShell Profile
Adversaries may gain persistence and elevate privileges by executing malicious content triggered by PowerShell profiles. A Power...
Связанные защитные меры
Ничего не найдено