Injeção IFEO
O que é Injeção IFEO?
Injeção IFEOTécnica de persistência e elevação de privilégios que abusa da chave de registo Image File Execution Options do Windows para executar código quando um executável-alvo é iniciado.
A injeção IFEO (MITRE ATT&CK T1546.012) abusa de HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Originalmente para depuração, esta chave permite anexar um valor Debugger a um nome de executável: quando o Windows o inicia, lança o depurador passando o binário original como argumento. Atacantes registam o seu payload como depurador de executáveis comuns (sethc.exe, utilman.exe, taskmgr.exe) para persistir ou usam a subchave GlobalFlag/SilentProcessExit para executar código quando um processo-alvo termina. Requer permissões de administrador, mas é muito eficaz e frequentemente ignorada. Defesas: monitorizar gravações IFEO com Sysmon evento 13, AppLocker e alertas sobre valores Debugger apontando para binários não assinados.
● Exemplos
- 01
Definir Debugger em sethc.exe para que cinco toques em Shift no ecrã de bloqueio abram uma shell SYSTEM.
- 02
Configurar SilentProcessExit em lsass.exe para fazer dump de credenciais ao terminar.
● Perguntas frequentes
O que é Injeção IFEO?
Técnica de persistência e elevação de privilégios que abusa da chave de registo Image File Execution Options do Windows para executar código quando um executável-alvo é iniciado. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Injeção IFEO?
Técnica de persistência e elevação de privilégios que abusa da chave de registo Image File Execution Options do Windows para executar código quando um executável-alvo é iniciado.
Como funciona Injeção IFEO?
A injeção IFEO (MITRE ATT&CK T1546.012) abusa de HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Originalmente para depuração, esta chave permite anexar um valor Debugger a um nome de executável: quando o Windows o inicia, lança o depurador passando o binário original como argumento. Atacantes registam o seu payload como depurador de executáveis comuns (sethc.exe, utilman.exe, taskmgr.exe) para persistir ou usam a subchave GlobalFlag/SilentProcessExit para executar código quando um processo-alvo termina. Requer permissões de administrador, mas é muito eficaz e frequentemente ignorada. Defesas: monitorizar gravações IFEO com Sysmon evento 13, AppLocker e alertas sobre valores Debugger apontando para binários não assinados.
Como se defender contra Injeção IFEO?
As defesas contra Injeção IFEO costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Injeção IFEO?
Nomes alternativos comuns: Abuso de Image File Execution Options, Sequestro de depurador, Persistência SilentProcessExit.
● Termos relacionados
- attacks№ 331
Sequestro de DLL
Ataque que abusa da ordem de busca de DLL no Windows para fazer um programa legítimo carregar uma biblioteca controlada pelo atacante em vez da pretendida.
- attacks№ 200
Sequestro COM
Técnica de persistência que redireciona a resolução de um CLSID do Component Object Model do Windows para código do atacante, executado sempre que o objeto é instanciado.
- attacks№ 914
Persistência por chave Run do registo
Técnica clássica de persistência do Windows que adiciona uma entrada numa chave Run ou RunOnce do registo para executar um binário ou script sempre que o utilizador inicia sessão.
- attacks№ 1246
Persistência por subscrição de eventos WMI
Técnica de persistência que regista um filtro e um consumidor permanentes de eventos WMI para executar código do atacante quando ocorre um evento do sistema escolhido.
- attacks№ 975
Persistência por tarefa agendada
Técnica de persistência e execução em que o atacante cria ou altera uma tarefa agendada do Windows para executar o seu payload com base num gatilho (logon, arranque, temporizador).
- attacks№ 054
AppInit_DLLs
Técnica legada de persistência no Windows que abusa de um valor do registo para carregar uma DLL específica em todos os processos de utilizador que ligam ao user32.dll.