Injeção IFEO
O que é Injeção IFEO?
Injeção IFEOTécnica de persistência e elevação de privilégios que abusa da chave de registo Image File Execution Options do Windows para executar código quando um executável-alvo é iniciado.
A injeção IFEO (MITRE ATT&CK T1546.012) abusa de HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Originalmente para depuração, esta chave permite anexar um valor Debugger a um nome de executável: quando o Windows o inicia, lança o depurador passando o binário original como argumento. Atacantes registam o seu payload como depurador de executáveis comuns (sethc.exe, utilman.exe, taskmgr.exe) para persistir ou usam a subchave GlobalFlag/SilentProcessExit para executar código quando um processo-alvo termina. Requer permissões de administrador, mas é muito eficaz e frequentemente ignorada. Defesas: monitorizar gravações IFEO com Sysmon evento 13, AppLocker e alertas sobre valores Debugger apontando para binários não assinados.
● Exemplos
- 01
Definir Debugger em sethc.exe para que cinco toques em Shift no ecrã de bloqueio abram uma shell SYSTEM.
- 02
Configurar SilentProcessExit em lsass.exe para fazer dump de credenciais ao terminar.
● Perguntas frequentes
O que é Injeção IFEO?
Técnica de persistência e elevação de privilégios que abusa da chave de registo Image File Execution Options do Windows para executar código quando um executável-alvo é iniciado. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Injeção IFEO?
Técnica de persistência e elevação de privilégios que abusa da chave de registo Image File Execution Options do Windows para executar código quando um executável-alvo é iniciado.
Como se defender contra Injeção IFEO?
As defesas contra Injeção IFEO costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Injeção IFEO?
Nomes alternativos comuns: Abuso de Image File Execution Options, Sequestro de depurador, Persistência SilentProcessExit.