V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
T1055Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Внедрение в процесс

Злоумышленники могут внедрять код в процессы для обхода защит на основе процессов, а также, возможно, для повышения привилегий. Внедрение в процесс — это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса. Запуск кода в контексте другого процесса может предоставить доступ к памяти процесса, системным/сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение через внедрение в процесс также может обойти обнаружение продуктами безопасности, поскольку выполнение маскируется под легитимным процессом. Существует множество различных способов внедрения кода в процесс, многие из которых злоупотребляют легитимной функциональностью. Эти реализации существуют для всех основных операционных систем, но обычно специфичны для платформы. Более сложные образцы могут выполнять несколько внедрений в процессы для сегментации модулей и дальнейшего уклонения от обнаружения, используя именованные каналы или другие механизмы межпроцессного взаимодействия (IPC) в качестве канала связи.

Тактики

Повышение привилегийПредотвращение обнаружения

Подтехники

T1055.001
Внедрение библиотеки динамической компоновки
T1055.002
Внедрение переносимого исполняемого файла
T1055.003
Перехват выполнения потока
T1055.004
Асинхронный вызов процедуры
T1055.005
Локальное хранилище потока
T1055.008
Системные вызовы Ptrace
T1055.009
Память Proc
T1055.011
Внедрение дополнительной памяти окна
T1055.012
Выкапывание процесса
T1055.013
Двойник процесса
T1055.014
Перехват VDSO
T1055.015
ListPlanting

Платформы

LinuxmacOSWindows

Меры защиты

M1026
Управление привилегированными учётными записями
M1040
Предотвращение подозрительного поведения на конечной точке
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-251
Локальное включение кода
CAPEC-660
Уклонение от обнаружения Root/Jailbreak посредством перехвата функций

Затронутые уязвимости (выводимые)

CVE-2025-70974Fastjson до 1.2.48 неправильно обращается с autoType, потому что, когда ключ @type находится в документе JSON, и значение этого ключа - имя класса Java, могут быть звонки на определенные публичные методы этого класса. В зависимости от поведения этих методов может быть инъекция JNDI с полезной нагрузкой, поставляемой злоумышленником, расположенной в другом месте этого документа JSON. Это было использовано в дикой природе в 2023-2025 годах. ПРИМЕЧАНИЕ: Этот вопрос существует из-за неполного исправления для CVE-2017-18349. Также более поздний обход покрывается CVE-2022-25845.
CVE-2020-4561IBM Cognos Analytics 11.0 и 11.1 DQM API позволяет отправлять все запросы управления в неаутентифицированных сеансах. Это позволяет удаленному злоумышленнику, который может получить доступ к допустимой конечной точке CA, читать и записывать файлы в систему Cognos Analytics. IBM X-Force ID: 183903.
CVE-2026-27941OpenLIT - это платформа с открытым исходным кодом для ИИ-инжиниринга. До версии 1.37.1 несколько рабочих процессов GitHub Actions в хранилище OpenLIT GitHub используют событие `pull_request_target` при проверке и выполнении ненадежного кода из раздвоенных запросов. Эти рабочие процессы выполняются в контексте безопасности базового репозитория, включая привилегированный `GITHUB_TOKEN`` написанного привилегированный `GITHUB_TOKEN` и многочисленные конфиденциальные секреты (ключи API, токены базы данных/векторного магазина и ключ учетной записи службы Google Cloud). Версия 1.37.1 содержит исправление.
CVE-2026-0770Langflow exec_globals Включение функциональности из ненадежной области управления Удаленность Исполнительного Исполнения. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Langflow. Аутентификация не требуется для использования этой уязвимости. Устный недостаток существует в обработке параметра exec_globals, предоставляемого к конечной точке подтверждения. Проблема возникает в результате включения ресурса из ненадежной контрольной сферы. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте корня. Это был ZDI-CAN-27325.
CVE-2025-70046Проблема, относящаяся к CWE-829: Включение функциональности из ненадежной сферы управления, была обнаружена в Miazzy oa-front-service master.
CVE-2025-27668Vasion Print (ранее PrinterLogic) до Virtual Appliance Host 22.0.843 Приложение 20.0.1923 допускает произвольное включение содержимого через Iframe OVE-20230524-0012.
CVE-2024-38537Fides — это платформа разработки конфиденциальности с открытым исходным кодом. `fides.js`, клиентский скрипт, используемый для взаимодействия с функциями управления согласием Fides, использовал домен `polyfill.io` в очень ограниченном пограничном случае, когда он обнаруживал устаревший браузер, такой как IE11, который не поддерживал стандарт fetch. Поэтому пользователи устаревших браузеров до 2017 года, которые переходят на страницу, обслуживающую `fides.js`, могли загружать и выполнять вредоносные скрипты из домена `polyfill.io`, когда домен был скомпрометирован и обслуживал вредоносное ПО. По состоянию на момент публикации не было выявлено никаких случаев эксплуатации `fides.js` через `polyfill.io`. Уязвимость была исправлена в версии Fides `2.39.1`. Пользователям рекомендуется обновиться до этой или более поздней версии, чтобы защитить свои системы от этой угрозы. В четверг, 27 июня 2024 г., Cloudflare и Namecheap вмешались на уровне домена, чтобы гарантировать, что `polyfill.io` и его поддомены не смогут разрешиться в скомпрометированную службу, что сделало эту уязвимость неэксплуатируемой. До вмешательства на уровне домена не было обходных путей на стороне сервера, а воздействие этой уязвимости на конфиденциальность, целостность и доступность было высоким. Клиенты могли гарантировать, что они не затронуты, используя современный браузер, поддерживающий стандарт fetch.
CVE-2023-6971Плагин Backup Migration для WordPress уязвим для удаленного включения файлов в версиях с 1.0.8 по 1.3.9 через HTTP-заголовок 'content-dir'. Это позволяет неаутентифицированным злоумышленникам включать удаленные файлы на сервере, что приводит к выполнению кода. ПРИМЕЧАНИЕ: Для успешной эксплуатации этой уязвимости необходимо, чтобы в файле php.ini целевого сервера был установлен параметр 'allow_url_include' в значение 'on'. Эта функция устарела, начиная с PHP 7.4, и отключена по умолчанию, но ее все еще можно явно включить в более поздних версиях PHP.
CVE-2023-49134Уязвимость выполнения команд существует в функциональности tddpd enable_test_mode точек доступа Tp-Link AC1350 Wireless MU-MIMO Gigabit Access Point (EAP225 V3) v5.1.0 Build 20220926 и Tp-Link N300 Wireless Access Point (EAP115 V4) v5.0.4 Build 20220216. Специально созданная серия сетевых запросов может привести к произвольному выполнению команд. Злоумышленник может отправить последовательность не прошедших проверку подлинности пакетов, чтобы вызвать эту уязвимость. Эта уязвимость затрагивает `uclited` на EAP115(V4) 5.0.4 Build 20220216 точки доступа N300 Wireless Gigabit Access Point.
CVE-2023-49133Уязвимость выполнения команд существует в функциональности tddpd enable_test_mode точек доступа Tp-Link AC1350 Wireless MU-MIMO Gigabit Access Point (EAP225 V3) v5.1.0 Build 20220926 и Tp-Link N300 Wireless Access Point (EAP115 V4) v5.0.4 Build 20220216. Специально созданная серия сетевых запросов может привести к произвольному выполнению команд. Злоумышленник может отправить последовательность не прошедших проверку подлинности пакетов, чтобы вызвать эту уязвимость. Эта уязвимость затрагивает `uclited` на EAP225(V3) 5.1.0 Build 20220926 точки доступа AC1350 Wireless MU-MIMO Gigabit Access Point.
CVE-2023-4591В WPN-XM Serverstack обнаружена уязвимость локального включения файлов, затрагивающая версию 0.8.6, которая позволит не прошедшему проверку подлинности пользователю выполнить локальное включение файлов (LFI) через параметр /tools/webinterface/index.php?page, отправив GET-запрос. Эта уязвимость может привести к загрузке PHP-файла на сервере, что приведет к критической эксплуатации веб-оболочки.
CVE-2023-45798В Yettiesoft VestCert версий с 2.36 по 2.5.29 существует уязвимость из-за неправильной проверки сторонних модулей. Это позволяет злоумышленникам загружать произвольные сторонние модули, что приводит к удаленному выполнению кода.
CVE-2022-31736Вредоносный веб-сайт мог узнать размер ресурса из другого источника, который поддерживал запросы Range. Эта уязвимость затрагивает Thunderbird < 91.10, Firefox < 101 и Firefox ESR < 91.10.
CVE-2022-24119Некоторые продукты General Electric Renewable Energy имеют скрытую функцию для неаутентифицированного удаленного доступа к оболочке конфигурации устройства. Это относится к iNET и iNET II до версии 8.3.0.
CVE-2022-1161Злоумышленник, имеющий возможность изменять пользовательскую программу, может изменить код пользовательской программы в некоторых системах управления ControlLogix, CompactLogix и GuardLogix. Studio 5000 Logix Designer записывает удобочитаемый пользователем программный код в отдельное место, отличное от выполняемого скомпилированного кода, что позволяет злоумышленнику изменить одно, а не другое.
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.