IFEO-Injection
Was ist IFEO-Injection?
IFEO-InjectionPersistenz- und Privilegieneskalationstechnik, die den Windows-Registry-Schlüssel Image File Execution Options missbraucht, um beim Start eines Ziel-Executables Angreifercode auszuführen.
Die IFEO-Injection (MITRE ATT&CK T1546.012) missbraucht HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Eigentlich für Debugging gedacht, erlaubt der Schlüssel das Anhängen eines Debugger-Werts an einen ausführbaren Dateinamen: Beim Start dieses Programms wird stattdessen der Debugger mit der Originalbinärdatei als Argument gestartet. Angreifer registrieren ihr Payload als Debugger gängiger Executables (sethc.exe, utilman.exe, taskmgr.exe) für Persistenz oder verwenden den Unterschlüssel GlobalFlag/SilentProcessExit, um beim Beenden eines Zielprozesses Code auszuführen. Erfordert Admin-Rechte, ist aber sehr effektiv. Abwehr: IFEO-Schreibvorgänge per Sysmon-Event 13 überwachen, AppLocker, Alarm bei Debugger-Werten zu unsignierten Binärdateien.
● Beispiele
- 01
Setzen eines Debugger-Werts auf sethc.exe, sodass fünfmaliges Drücken der Shift-Taste am Sperrbildschirm eine SYSTEM-Shell startet.
- 02
SilentProcessExit auf lsass.exe konfigurieren, um beim Beenden Credentials zu dumpen.
● Häufige Fragen
Was ist IFEO-Injection?
Persistenz- und Privilegieneskalationstechnik, die den Windows-Registry-Schlüssel Image File Execution Options missbraucht, um beim Start eines Ziel-Executables Angreifercode auszuführen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet IFEO-Injection?
Persistenz- und Privilegieneskalationstechnik, die den Windows-Registry-Schlüssel Image File Execution Options missbraucht, um beim Start eines Ziel-Executables Angreifercode auszuführen.
Wie funktioniert IFEO-Injection?
Die IFEO-Injection (MITRE ATT&CK T1546.012) missbraucht HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Eigentlich für Debugging gedacht, erlaubt der Schlüssel das Anhängen eines Debugger-Werts an einen ausführbaren Dateinamen: Beim Start dieses Programms wird stattdessen der Debugger mit der Originalbinärdatei als Argument gestartet. Angreifer registrieren ihr Payload als Debugger gängiger Executables (sethc.exe, utilman.exe, taskmgr.exe) für Persistenz oder verwenden den Unterschlüssel GlobalFlag/SilentProcessExit, um beim Beenden eines Zielprozesses Code auszuführen. Erfordert Admin-Rechte, ist aber sehr effektiv. Abwehr: IFEO-Schreibvorgänge per Sysmon-Event 13 überwachen, AppLocker, Alarm bei Debugger-Werten zu unsignierten Binärdateien.
Wie schützt man sich gegen IFEO-Injection?
Schutzmaßnahmen gegen IFEO-Injection kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für IFEO-Injection?
Übliche alternative Bezeichnungen: Image-File-Execution-Options-Missbrauch, Debugger-Hijack, SilentProcessExit-Persistenz.
● Verwandte Begriffe
- attacks№ 331
DLL-Hijacking
Angriff, der die DLL-Suchreihenfolge von Windows missbraucht, damit ein legitimes Programm eine vom Angreifer kontrollierte Bibliothek anstelle der vorgesehenen lädt.
- attacks№ 200
COM-Hijacking
Persistenztechnik, die die CLSID-Auflösung des Windows Component Object Model auf Angreifercode umleitet und diesen bei jeder Objektinstanziierung ausführt.
- attacks№ 914
Run-Schlüssel-Persistenz
Klassische Windows-Persistenztechnik, die einen Eintrag unter einem Run- oder RunOnce-Registry-Schlüssel anlegt, damit ein Binary oder Skript bei jedem Logon ausgeführt wird.
- attacks№ 1246
WMI-Event-Subscription-Persistenz
Persistenztechnik, die einen permanenten WMI-Event-Filter und -Consumer registriert, sodass Angreifercode bei einem definierten Systemereignis ausgeführt wird.
- attacks№ 975
Geplante-Aufgaben-Persistenz
Persistenz- und Ausführungstechnik, bei der ein Angreifer eine Windows-Aufgabenplanungs-Aufgabe anlegt oder ändert, um sein Payload bei Logon, Boot oder Timer auszuführen.
- attacks№ 054
AppInit_DLLs
Legacy-Windows-Persistenztechnik, die einen Registry-Wert missbraucht, damit eine angegebene DLL in jeden Benutzerprozess geladen wird, der user32.dll bindet.