IFEO 注入
IFEO 注入 是什么?
IFEO 注入一种利用 Windows 注册表 Image File Execution Options 项的持久化与提权技术,只要目标可执行文件启动就会触发攻击者代码。
IFEO 注入(MITRE ATT&CK T1546.012)滥用 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 注册表。该机制原本用于调试,允许管理员为某个可执行文件附加 Debugger 值,Windows 启动该程序时会改为启动调试器并将原始二进制作为参数。攻击者将自己的载荷注册为 sethc.exe、utilman.exe、taskmgr.exe 等常用程序的调试器以实现持久化,或借助 GlobalFlag 与 SilentProcessExit 子键在目标进程退出时执行代码。该手法需要管理员权限,但效果显著,常被忽视。防御措施:用 Sysmon 事件 13 监控 IFEO 写入、使用 AppLocker 阻止,并对指向未签名二进制的 Debugger 值告警。
● 示例
- 01
为 sethc.exe 设置 Debugger,使在锁屏界面连按五次 Shift 即可获得 SYSTEM 权限的 shell。
- 02
在 lsass.exe 上配置 SilentProcessExit,在其退出时转储凭据。
● 常见问题
IFEO 注入 是什么?
一种利用 Windows 注册表 Image File Execution Options 项的持久化与提权技术,只要目标可执行文件启动就会触发攻击者代码。 它属于网络安全的 攻击与威胁 分类。
IFEO 注入 是什么意思?
一种利用 Windows 注册表 Image File Execution Options 项的持久化与提权技术,只要目标可执行文件启动就会触发攻击者代码。
IFEO 注入 是如何工作的?
IFEO 注入(MITRE ATT&CK T1546.012)滥用 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 注册表。该机制原本用于调试,允许管理员为某个可执行文件附加 Debugger 值,Windows 启动该程序时会改为启动调试器并将原始二进制作为参数。攻击者将自己的载荷注册为 sethc.exe、utilman.exe、taskmgr.exe 等常用程序的调试器以实现持久化,或借助 GlobalFlag 与 SilentProcessExit 子键在目标进程退出时执行代码。该手法需要管理员权限,但效果显著,常被忽视。防御措施:用 Sysmon 事件 13 监控 IFEO 写入、使用 AppLocker 阻止,并对指向未签名二进制的 Debugger 值告警。
如何防御 IFEO 注入?
针对 IFEO 注入 的防御通常结合技术控制与运营实践,详见上方完整定义。
IFEO 注入 还有哪些其他名称?
常见的别称包括: Image File Execution Options 滥用, 调试器劫持, SilentProcessExit 持久化。
● 相关术语
- attacks№ 331
DLL 劫持
一种滥用 Windows DLL 搜索顺序的攻击,使合法程序加载攻击者控制的库,而不是预期的库。
- attacks№ 200
COM 劫持
一种持久化技术,将 Windows 组件对象模型的 CLSID 查找重定向到攻击者代码,只要宿主进程实例化该对象就会执行。
- attacks№ 914
注册表 Run 键持久化
经典 Windows 持久化技术,在 Run 或 RunOnce 注册表项中添加条目,使二进制或脚本在每次用户登录时执行。
- attacks№ 1246
WMI 事件订阅持久化
一种持久化手法,注册永久 WMI 事件过滤器和消费者,使攻击者代码在指定系统事件发生时被触发。
- attacks№ 975
计划任务持久化
一种持久化与执行手法,攻击者创建或修改 Windows 计划任务,使载荷在登录、开机或定时等触发条件下运行。
- attacks№ 054
AppInit_DLLs
Windows 早期持久化技术,通过滥用注册表值,将指定 DLL 加载到所有链接 user32.dll 的用户态进程中。