Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Транзакционная NTFS (TxF) — технология в ОС Windows позволяющая производить файловые операции на разделе с файловой системой NTFS при помощи транзакций, обеспечивая поддержку семантики атомарности, согласованности, изолированности и надёжности (ACID). Технология позволяет производить атомарные операции над файлом, над несколькими файлами и над несколькими источниками данных, такими, как реестр и базы данных. Технология призвана повышать надёжность создаваемых приложений, способствуя поддержанию целостности данных, и упрощать их разработку благодаря значительному уменьшению количества кода обработки ошибок.
Злоумышленник может использовать Windows Transactional NTFS (TxF) для выполнения внедрения вредоносного кода в выполняемый процесс. Операция включает в себя замену памяти легитимного процесса, позволяя завуалированное выполнение вредоносного кода легитимным процессом. Такое поведение, скорее всего, не приведет к повышенным привилегиям. Однако выполнение с помощью легитимного процесса поможет избежать обнаружения со стороны средств защиты, поскольку выполнение маскируется под легальный процесс.
Злоумышленник может использовать Windows Transactional NTFS (TxF) для выполнения внедрения вредоносного кода в выполняемый процесс. Операция включает в себя замену памяти легитимного процесса, позволяя завуалированное выполнение вредоносного кода легитимным процессом. Такое поведение, скорее всего, не приведет к повышенным привилегиям. Однако выполнение с помощью легитимного процесса поможет избежать обнаружения со стороны средств защиты, поскольку выполнение маскируется под легальный процесс.
Техники ATT@CK:
T1055.013
Process Injection:
Process Doppelgänging
Adversaries may inject malicious code into process via process doppelgänging in order to evade process-based defenses as well as...
Связанные риски
Риск | Угроза | Уязвимость | Тип актива | Связи | |
---|---|---|---|---|---|
Обход систем защиты
из-за
возможности выполнения кода через API Windows Transactional NTFS (TxF)
в ОС Windows
Повышение привилегий
Целостность
|
Обход систем защиты
Повышение привилегий
Целостность
|
Возможность выполнения кода через API Windows Transactional NTFS (TxF) |