Внедрение через IFEO
Что такое Внедрение через IFEO?
Внедрение через IFEOТехника закрепления и повышения привилегий, использующая раздел реестра Image File Execution Options для запуска кода злоумышленника при старте целевого исполняемого файла.
Внедрение через IFEO (MITRE ATT&CK T1546.012) использует ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Изначально предназначенный для отладки, он позволяет привязать значение Debugger к имени исполняемого файла: при запуске такого процесса Windows вместо него запускает отладчик с исходным бинарником в аргументах. Злоумышленники регистрируют свой пейлоад как отладчик распространённых исполняемых файлов (sethc.exe, utilman.exe, taskmgr.exe) для закрепления или применяют подключ GlobalFlag/SilentProcessExit для исполнения кода при завершении целевого процесса. Техника требует прав администратора, но крайне эффективна и часто остаётся незамеченной. Защита: мониторинг записей в IFEO через Sysmon Event 13, ограничения AppLocker и оповещения о Debugger-значениях, ссылающихся на неподписанные бинарники.
● Примеры
- 01
Установка Debugger для sethc.exe, чтобы пятикратное нажатие Shift на экране блокировки открывало оболочку SYSTEM.
- 02
Настройка SilentProcessExit для lsass.exe для дампа учётных данных при завершении процесса.
● Частые вопросы
Что такое Внедрение через IFEO?
Техника закрепления и повышения привилегий, использующая раздел реестра Image File Execution Options для запуска кода злоумышленника при старте целевого исполняемого файла. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Внедрение через IFEO?
Техника закрепления и повышения привилегий, использующая раздел реестра Image File Execution Options для запуска кода злоумышленника при старте целевого исполняемого файла.
Как работает Внедрение через IFEO?
Внедрение через IFEO (MITRE ATT&CK T1546.012) использует ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Изначально предназначенный для отладки, он позволяет привязать значение Debugger к имени исполняемого файла: при запуске такого процесса Windows вместо него запускает отладчик с исходным бинарником в аргументах. Злоумышленники регистрируют свой пейлоад как отладчик распространённых исполняемых файлов (sethc.exe, utilman.exe, taskmgr.exe) для закрепления или применяют подключ GlobalFlag/SilentProcessExit для исполнения кода при завершении целевого процесса. Техника требует прав администратора, но крайне эффективна и часто остаётся незамеченной. Защита: мониторинг записей в IFEO через Sysmon Event 13, ограничения AppLocker и оповещения о Debugger-значениях, ссылающихся на неподписанные бинарники.
Как защититься от Внедрение через IFEO?
Защита от Внедрение через IFEO обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Внедрение через IFEO?
Распространённые альтернативные названия: Злоупотребление Image File Execution Options, Перехват отладчика, Закрепление через SilentProcessExit.
● Связанные термины
- attacks№ 331
Перехват DLL
Атака, использующая порядок поиска DLL в Windows, чтобы легитимная программа загрузила подконтрольную злоумышленнику библиотеку вместо нужной.
- attacks№ 200
Перехват COM
Техника закрепления, перенаправляющая разрешение CLSID Windows Component Object Model на код злоумышленника, который выполняется при каждой инстанциации объекта.
- attacks№ 914
Закрепление через раздел Run реестра
Классическая техника закрепления в Windows, добавляющая запись в раздел реестра Run или RunOnce для запуска бинарника или скрипта при каждом входе пользователя.
- attacks№ 1246
Закрепление через подписку WMI
Техника закрепления, регистрирующая постоянный WMI-фильтр и потребитель события, чтобы код злоумышленника запускался при выбранном системном событии.
- attacks№ 975
Закрепление через запланированные задания
Техника закрепления и исполнения, при которой злоумышленник создаёт или изменяет запланированное задание Windows для запуска пейлоада по триггеру (вход, загрузка, таймер).
- attacks№ 054
AppInit_DLLs
Устаревшая техника закрепления в Windows, использующая значение реестра для загрузки указанной DLL в каждый пользовательский процесс, связанный с user32.dll.