<noframes id="vfxvr">

    <track id="vfxvr"></track>

      <span id="vfxvr"></span>

          ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

          譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

          數據來源:ATT&CK Matrices

          原文: https://attack.mitre.org/techniques/T1055

          術語表: /attack/glossary

          進程注入

          進程注入是一種在獨立活動進程的地址空間中執行任意代碼的方法。在另一個進程的上下文中運行代碼會允許代碼訪問進程的內存、系統/網絡資源,以及可能提升的特權。由于合法進程掩蓋了(注入進程的)執行,因此通過進程注入執行也可規避對安全產品的檢測。

          Windows

          將代碼注入實時進程有多種方法。Windows 下的實現包括: - 動態鏈接庫 (DLL) 注入涉及在進程中寫入惡意 DLL 的路徑,然后通過創建遠程線程調用執行。 - 可移植性可執行注入包括將惡意代碼直接寫入進程(磁盤上沒有文件),然后使用附加代碼或創建遠程線程調用執行。注入代碼的替換要求重新映射內存引用。這種方法的變體,如反射 DLL 注入(將自映射 DLL 寫入進程)和內存模塊(寫入進程時映射 DLL),解決了了地址重定位問題。 - 線程執行劫持涉及將惡意代碼或 DLL 路徑注入進程的線程。與進程鏤空類似,首先必須掛起線程。 - 異步過程調用 (APC) 注入涉及將惡意代碼附加到進程線程的 APC 隊列 。當線程進入可變狀態時,執行在 APC 隊列的函數。APC 注入的一種變體為"Early Bird 注入",它涉及到創建一個掛起的進程,在進程的入口點(以及可能隨后的反惡意軟件鉤子)之前,通過 APC 編寫和執行惡意代碼。 AtomBombing 是另一種變體,它利用 APC 調用以前編寫到全局原子表的惡意代碼。 - 線程本地存儲 (TLS) 回調注入涉及操作可移植性可執行文件 (PE) 中的指針,以便在到達代碼的合法入口點之前將進程重定向到惡意代碼。

          Mac 和 Linux

          Linux 和 OS X/macOS 系統的實現包括: - LD_PRELOAD、LD_LIBRARY_PATH (Linux)、DYLD_INSERT_LIBRARIES (Mac OS X) 環境變量或 dlfcn 應用程序編程接口 (API) 可用于動態加載進程中的庫(共享對象),該庫可用于攔截運行進程中的 API 調用。 - Ptrace 系統調用可用于附加到正在運行的進程并在運行時修改它。 - /proc/[pid]/mem 提供對進程內存的訪問,可用于對進程讀寫任意數據。因其復雜性,該技術十分少見。 - VDSO 劫持通過操作 linux-vdso.so 共享對象映射的樁代碼,在 ELF 二進制文件上執行運行時注入。 惡意軟件通常利用進程注入來訪問系統資源,通過這些資源可以獲得持久性和修改其他環境。 更復雜的示例:使用命名管道或其他進程間通信 (IPC) 機制作為通信通道,執行多進程注入來分割模塊并進一步規避檢測。

          緩解

          這種類型的攻擊技術不能簡單通過預防性控制緩解,因為它基于濫用操作系統設計功能。 例如,減少特定的 Windows API 調用可能會產生意料外的副作用,比如阻止合法軟件(即安全產品)正常運行。 應該集中精力防止攻擊者工具在活動鏈中更早地運行以及識別后續惡意行為。

          在適當的情況下使用白名單 工具(如 AppLocker、 或軟件限制策略 ) 識別或攔截可能包含進程注入功能的潛在惡意軟件。

          使用 Yama 限制特權用戶只能使用 ptrace,從而緩解基于 ptrace 的進程注入。 其他緩解控制包括部署提供高級訪問控制和進程限制的安全內核模塊,如 SELinux、grsecurity 和 AppAmour。

          檢測

          監控各種類型代碼注入的 Windows API 調用可能產生大量的數據,并且對防御可能沒有直接用處,除非是在特定情況下針對已知的錯誤調用序列收集,因為良性的 API 函數調用可能是常見的,難以將其與惡意行為區分開。 諸如 CreateRemoteThread,SuspendThread / SetThreadContext / ResumeThread,QueueUserAPC / NtQueueApcThread 之類的 API 調用以及可用于修改另一個進程內的內存的 API 調用(例如 WriteProcessMemory)可用于此技術。

          監測 Linux 特定的調用,如 ptrace 系統調用,LD_PRELOAD 環境變量的使用,或 dlfcn 動態鏈接 API 調用,由于其專業特性,它們不會產生大量數據,可以非常有效地檢測一些常見的進程注入的方法。

          監視命名管道的創建和連接事件(事件 ID 17 和 18),以獲取外部模塊感染進程的潛在標志。

          監視可以在代碼注入前后完成的進程和命令行參數操作,并將信息與相關的事件信息關聯起來。 代碼注入也可以通過 PowerShell 和 PowerSploit 等工具執行, 因此可能需要額外監控 PowerShell 來覆蓋這種行為的已知實現。

          欧美日韩国产亚洲,天天射影院,大芭蕉天天视频在线观看,欧美肥老太牲交大片,奇米色888,黄三级高清在线播放,国产卡一卡二卡三卡四,亚洲第一黄色视频 日韩中文字幕中文有码,日本A级作爱片一,奇米第四,三级片短片视频免费在线观看,奇米网狠狠网,影音先锋色AV男人资源网,日本丰满熟妇hd 日本日韩中文字幕无区码,涩 色 爱 性,天天射影视,中文字幕制服丝袜第57页,777米奇影院奇米网狠狠,尤物TV国产精品看片在线,欧洲女同牲恋牲交视频 久久AV天堂日日综合,亚洲性爱影院色yeye,日韩亚洲欧美Av精品,十八禁全身裸露全彩漫画,奇米网影视,人人爽人人澡人人人妻,动漫AV专区,天天色综合影院 日韩精品中文字幕,特级无码毛片免费视频,人妻少妇不卡无码视频,制服丝袜有码中文字幕在线,深爱激动情网婷婷,影音先锋全部色先锋,香港三级日本三级韩级人妇 日韩欧美亚洲综合久久在线视频,2021XX性影院,玖玖资源站最稳定网址,日韩亚洲制服丝袜中文字幕,国产超碰人人模人人爽人人喊,先锋色熟女丝袜资源 很黄特别刺激又免费的视频,2021一本久道在线线观看,色中娱乐黄色大片,日本高清不卡在线观看播放,97国产自在现线免费视频,国产在线精品亚洲第一区 免费中文字幕精品一区二区 视频,狠狠爱俺也色,天天好逼网,日韩制服丝袜,国产女人大象蕉视频在线观看,国产 精品 自在 线免费,午夜时刻在线观看