Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Возможность внедрения кода через очередь асинхронных вызовов процедур (APC)

Выполнение кода в контексте другого процесса может обеспечить доступ к памяти процесса, системным/сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение с помощью внедрения через процедуры APC также может избежать обнаружения со стороны средств защиты, поскольку ВПО маскируется под легитимный процесс. Существует несколько возможностей внедрить исполняемый код  в процедуры APC.
Внедрение в процедуры APC может выполняться путем присоединения вредоносного кода к очереди APC потока процесса. Так же существует разновидность внедрения в APC, получившая название «Инъекция ранней пташки (Earle Bird injection)», которая включает в себя приостановление процесса, в котором вредоносный код может быть внедрен и выполнен до точки входа процесса через APC. "AtomBombing" это еще одна вариация, которая использует APC для вызова вредоносного кода, ранее записанного в глобальную таблицу atom (Global atom table).

Каталоги

Техники ATT@CK:
T1055.004 Process Injection: Asynchronous Procedure Call
Adversaries may inject malicious code into processes via the asynchronous procedure call (APC) queue in order to evade process-b...

Связанные риски