T1574: ПЕРЕХОПЛЕННЯ ПОТОКУ ВИКОНАННЯ
Зловмисники маніпулюють способом, яким операційна система знаходить і запускає програми або бібліотеки. Замість створення нових процесів, вони вставляють своє шкідливе навантаження в ланцюжок запуску легітимного ПЗ. Це дозволяє шкідливому коду виконуватися щоразу, коли користувач або система звертається до звичайної програми, при цьому часто обходячи білі списки програм (Application Control) та підвищуючи привілеї.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть виконувати власні шкідливі навантаження, перехоплюючи спосіб, яким операційні системи запускають програми. Перехоплення потоку виконання може здійснюватися з метою закріплення (Persistence), оскільки таке перехоплене виконання може повторюватися з часом. Зловмисники також можуть використовувати ці механізми для підвищення привілеїв (Privilege Escalation) або ухилення від засобів захисту (Defense Evasion), таких як контроль програм або інші обмеження на виконання.
Існує багато способів, якими зловмисник може перехопити потік виконання, включаючи маніпулювання тим, як операційна система знаходить програми для виконання. Також може бути перехоплено те, як ОС знаходить бібліотеки, що використовуються програмою. Місця, де ОС шукає програми/ресурси, такі як каталоги файлів і (у випадку Windows) реєстр, можуть бути «отруєні» шкідливими навантаженнями.
Основні методи перехоплення:
- DLL Search Order Hijacking (T1574.001): Windows шукає необхідні бібліотеки за певним списком шляхів. Якщо зловмисник має право запису в папку з програмою, він може покласти туди шкідливу DLL, яку програма завантажить помилково.
- DLL Side-Loading (T1574.002): Зловмисник бере легітимний, підписаний файл (наприклад, антивірусний сканер або компонент MS Office) і підкладає йому шкідливу бібліотеку. Користувач бачить запуск довіреної програми, але насправді виконується код хакера.
- Перехоплення шляху (PATH): Якщо в змінній оточення %PATH% шлях з низькими правами доступу (наприклад, папка користувача) стоїть раніше за системні папки, зловмисник може створити файл cmd.exe у своїй папці, і система запустить його замість оригінального.
- Маніпуляція реєстром (T1574.011): Зміна шляху до виконуваного файлу служби в реєстрі Windows на свій власний скрипт.
Чому це важко виявити?
- Довіра до процесів: У диспетчері завдань все виглядає легітимно (наприклад, працює офіційний chrome.exe).
- Відсутність нових ключів автозапуску: Зловмисник не створює нових записів, він лише змінює існуючі зв’язки.
- Обхід EDR: Багато систем захисту ігнорують активність підписаних видавців програм.
Як захиститися?
- Використовуйте Safe DLL Search Mode у Windows.
- Налаштуйте суворі дозволи (NTFS permissions) на папки з програмами (C:\Program Files), щоб користувачі не могли записувати туди файли.
- Моніторте завантаження непідписаних DLL у довірені процеси.