Внедрение параметров выполнения файла образа

Злоумышленники могут устанавливать закрепление и/или повышать привилегии путем выполнения вредоносного содержимого, запускаемого отладчиками параметров выполнения файла образа (IFEO). IFEO позволяют разработчику присоединить отладчик к приложению. При создании процесса отладчик, присутствующий в IFEO приложения, будет добавлен перед именем приложения, эффективно запуская новый процесс под отладчиком (например, C:\dbg\ntsd.exe -g notepad.exe). IFEO могут быть установлены напрямую через реестр или в глобальных флагах через инструмент GFlags. IFEO представлены как значения Debugger в реестре в <code>HKLM\SOFTWARE{\Wow6432Node}\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<исполняемый файл></code>, где <исполняемый файл> — это бинарный файл, к которому присоединен отладчик. IFEO также могут включать запуск произвольной программы мониторинга при тихом завершении указанной программы (то есть при преждевременном завершении самой программой или вторым процессом, не работающим в режиме ядра). Подобно отладчикам, мониторинг тихого выхода можно включить через GFlags и/или путем непосредственного изменения значений реестра IFEO и тихого выхода процесса в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\. Подобно специальным возможностям, в Windows Vista и более поздних версиях, а также в Windows Server 2008 и более поздних версиях можно изменить ключ реестра, который настраивает "cmd.exe" или другую программу, обеспечивающую бэкдор-доступ, в качестве "отладчика" для программы специальных возможностей (например, utilman.exe). После изменения реестра нажатие соответствующей комбинации клавиш на экране входа при работе за клавиатурой или при подключении через протокол удаленного рабочего стола приведет к выполнению программы "отладчика" с привилегиями SYSTEM. Подобно внедрению в процесс, эти значения также могут быть использованы для повышения привилегий путем загрузки и запуска вредоносного исполняемого файла в контексте отдельных процессов на компьютере. Установка механизмов IFEO также может обеспечивать закрепление через непрерывный запускаемый вызов. Вредоносное ПО также может использовать IFEO для нарушения средств защиты путем регистрации недопустимых отладчиков, которые перенаправляют и фактически отключают различные системные приложения и приложения безопасности.