Инъекция в процесс
Что такое Инъекция в процесс?
Инъекция в процессСемейство техник обхода защит, при которых атакующий исполняет вредоносный код в адресном пространстве легитимного процесса, наследуя его доверие и идентичность.
Инъекция в процесс охватывает любые методы, при которых код под управлением атакующего размещается в памяти другого процесса и исполняется им, из-за чего активность выглядит как поведение подписанной или ожидаемой программы. Распространённые варианты: DLL-инъекция, reflective DLL loading, process hollowing, APC-инъекция, перехват потока (thread hijacking), AtomBombing. Цели — обход защит, закрепление, повышение привилегий и доступ к учётным данным (например, чтение памяти LSASS). MITRE ATT&CK сгруппировывает их под T1055 с подтехниками. Обнаружение опирается на телеметрию EDR по межпроцессным операциям и записи в память, ядерные колбэки, Sysmon events 8 и 10, поведенческое профилирование дерева процессов, а также защиты Credential Guard и Code Integrity.
● Примеры
- 01
Process hollowing: запуск notepad.exe в suspended-режиме, отмапливание образа, запись полезной нагрузки и возобновление.
- 02
APC-инъекция бикона в explorer.exe, чтобы держаться в системе без новых файлов.
● Частые вопросы
Что такое Инъекция в процесс?
Семейство техник обхода защит, при которых атакующий исполняет вредоносный код в адресном пространстве легитимного процесса, наследуя его доверие и идентичность. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Инъекция в процесс?
Семейство техник обхода защит, при которых атакующий исполняет вредоносный код в адресном пространстве легитимного процесса, наследуя его доверие и идентичность.
Как работает Инъекция в процесс?
Инъекция в процесс охватывает любые методы, при которых код под управлением атакующего размещается в памяти другого процесса и исполняется им, из-за чего активность выглядит как поведение подписанной или ожидаемой программы. Распространённые варианты: DLL-инъекция, reflective DLL loading, process hollowing, APC-инъекция, перехват потока (thread hijacking), AtomBombing. Цели — обход защит, закрепление, повышение привилегий и доступ к учётным данным (например, чтение памяти LSASS). MITRE ATT&CK сгруппировывает их под T1055 с подтехниками. Обнаружение опирается на телеметрию EDR по межпроцессным операциям и записи в память, ядерные колбэки, Sysmon events 8 и 10, поведенческое профилирование дерева процессов, а также защиты Credential Guard и Code Integrity.
Как защититься от Инъекция в процесс?
Защита от Инъекция в процесс обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- attacks№ 332
DLL-инъекция
Техника инъекции кода, заставляющая целевой процесс Windows загрузить и выполнить подложенную атакующим динамическую библиотеку (DLL).
- malware№ 417
Бесфайловое вредоносное ПО
Малварь, выполняющаяся преимущественно в памяти и использующая доверенные системные инструменты, без размещения традиционных исполняемых файлов на диске.
- defense-ops№ 298
Обход защит (Defense Evasion)
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.
- malware№ 649
Вредоносное ПО
Любое программное обеспечение, специально созданное для нарушения работы, повреждения или несанкционированного доступа к компьютерам, сетям или данным.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- defense-ops№ 682
Mimikatz
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
● См. также
- № 1124Sysmon
- № 964Побег из песочницы (Sandbox Escape)
- № 331Перехват DLL
- № 610Перехват через LD_PRELOAD