V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыДокументация
← Вернуться к списку
T0894ICS
Матрица: ICS
Статус: Активная
STIX: 19.0
Источник ↗

Косвенное выполнение через системный двоичный файл

Злоумышленники могут обходить защиту на основе анализа процессов и/или сигнатур, проксируя выполнение вредоносного содержимого через подписанные или иным образом доверенные двоичные файлы. Двоичные файлы, используемые в этой технике, нередко являются файлами с подписью Microsoft, что указывает на их загрузку с серверов Microsoft или их исходное присутствие в операционной системе. Двоичные файлы, подписанные доверенными цифровыми сертификатами, как правило, могут выполняться в системах Windows, защищённых проверкой цифровых подписей. Ряд подписанных Microsoft двоичных файлов, входящих в стандартную поставку Windows, могут использоваться для проксирования выполнения других файлов или команд. Аналогично, в системах Linux злоумышленники могут злоупотреблять доверенными двоичными файлами — например, split — для проксирования выполнения вредоносных команд. Злоумышленники могут использовать двоичные файлы приложений, установленных в системе, для проксирования выполнения вредоносного кода или специфичных команд. Такие команды могут быть направлены на локальные ресурсы устройства или сетевые устройства в среде через определённые API (Выполнение через API) или специализированные языки программирования приложений (например, SCIL для MicroSCADA). Двоичные файлы приложений могут быть подписаны разработчиком или в целом считаться доверенными операторами, аналитиками и инструментами мониторинга, привычными к данной среде. Эти приложения могут разрабатываться и/или предоставляться непосредственно производителем устройства для обеспечения настройки, управления и эксплуатации своих устройств без альтернатив. Злоумышленники могут стремиться использовать эти доверенные двоичные файлы приложений для выполнения команд без разработки собственного вредоносного ПО. Например, злоумышленники могут нацеливаться на двоичный файл сервера SCADA, уже обладающий возможностью отправлять команды на подстанционные устройства — например, через командные сообщения IEC 104. Проксирование выполнения может по-прежнему требовать разработки специализированных инструментов для перехвата выполнения двоичного файла приложения.

Тактики

Уклонение

Платформы

None

Меры защиты

M0938
Предотвращение выполнения кода
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Затронутые уязвимости (выводимые)

Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.