Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Возможность выполнения кода через API Windows Transactional NTFS (TxF)

Транзакционная NTFS (TxF) — технология в ОС Windows позволяющая производить файловые операции на разделе с файловой системой NTFS при помощи транзакций, обеспечивая поддержку семантики атомарности, согласованности, изолированности и надёжности (ACID). Технология позволяет производить атомарные операции над файлом, над несколькими файлами и над несколькими источниками данных, такими, как реестр и базы данных. Технология призвана повышать надёжность создаваемых приложений, способствуя поддержанию целостности данных, и упрощать их разработку благодаря значительному уменьшению количества кода обработки ошибок.
Злоумышленник может использовать Windows Transactional NTFS (TxF) для выполнения внедрения вредоносного кода в выполняемый процесс. Операция включает в себя замену памяти легитимного процесса, позволяя завуалированное выполнение вредоносного кода легитимным процессом. Такое поведение, скорее всего, не приведет к повышенным привилегиям. Однако выполнение с помощью  легитимного процесса поможет избежать обнаружения со стороны средств защиты, поскольку выполнение маскируется под легальный процесс.

Каталоги

Техники ATT@CK:
T1055.013 Process Injection: Process Doppelgänging
Adversaries may inject malicious code into process via process doppelgänging in order to evade process-based defenses as well as...