Главная страница » MITRE ATT&CK
0
1 день
MITRE ATT&CK

MITRE ATT&CK T1562.009 - Снижение эффективности защиты: Загрузка в безопасном режиме

MITRE ATT&CK

Загрузка в безопасном режиме - это техника уклонения от защиты, с помощью которой злоумышленники перезагружают систему в безопасный режим, чтобы отключить средства защиты и выполнить вредоносные действия без помех.

Безопасный режим - это диагностический режим запуска в Windows, который загружает только основные системные службы и драйверы, часто отключая сторонние программы безопасности, такие как антивирусы, средства обнаружения и реагирования на конечные точки (EDR) и инструменты мониторинга. Используя безопасный режим, злоумышленники могут обойти средства защиты, которые обычно обнаруживают и предотвращают их действия в полностью рабочей среде.

Что такое загрузка в безопасном режиме?

Загрузка в безопасном режиме - это диагностический режим запуска в операционных системах, включая Windows, macOS и некоторые дистрибутивы Linux. Когда компьютер загружается в безопасном режиме, загружаются только основные системные файлы и драйверы, необходимые для базовой функциональности. Он предназначен для устранения неполадок и решения проблем с операционной системой путем загрузки минимального набора драйверов и служб, тем самым изолируя систему от потенциальных проблемных элементов.

Безопасный режим особенно полезен, когда в системе возникают такие проблемы, как частые сбои, зависания или отказы при запуске. Он позволяет пользователям получить доступ к операционной системе в упрощенном состоянии, что облегчает поиск источника проблемы. Войдя в безопасный режим, пользователь может удалить недавно установленное программное обеспечение, обновить или откатить драйверы и выполнить другие действия по устранению неполадок.

Использование злоумышленниками загрузки в безопасном режиме

Хотя загрузка в безопасном режиме предназначена для диагностики и устранения неполадок в операционной системе, злоумышленники изобретательно используют эту функцию для обхода обнаружения, манипулирования конфигурацией системы и облегчения своей вредоносной деятельности. Злоумышленники часто используют загрузку в безопасном режиме для обхода мер безопасности, предусмотренных операционной системой. Загружая систему в безопасном режиме, они обеспечивают загрузку только минимального набора драйверов и основных служб, создавая среду, в которой многие средства контроля безопасности не запускаются. Этот метод особенно удобен для злоумышленников, стремящихся проникнуть в систему, не вызывая тревоги и не сталкиваясь с активными средствами защиты.

Злоумышленники используют метод загрузки в безопасном режиме, чтобы подменить защитное ПО и обойти обнаружение антивирусными программами. В безопасном режиме многие приложения и службы безопасности, необходимые для обнаружения угроз в режиме реального времени, могут оставаться неактивными. Таким образом, у злоумышленников появляется возможность выполнить вредоносный код или развернуть вредоносное ПО без немедленного вмешательства со стороны решений безопасности. Используя такое снижение уровня безопасности, противники повышают свои шансы остаться незамеченными на начальных этапах атаки.

Техника загрузки в безопасном режиме также служит для злоумышленников эффективным средством манипулирования конфигурацией системы и отключения функций безопасности. В безопасном режиме некоторые элементы запуска и драйверы сторонних разработчиков намеренно исключаются, что позволяет злоумышленникам изменять настройки системы в контролируемой среде. Эти манипуляции могут включать отключение брандмауэров, антивирусных программ и других мер безопасности, которые могут помешать их действиям, что позволяет злоумышленникам закрепиться в взломанной системе и заложить основу для последующих вредоносных действий.

В марте 2024 года сообщалось, что программа RA World ransomware включает безопасный режим с использованием сети, создавая службу, которая добавляет ключи реестра для безопасного режима.

Кроме того, злоумышленники настраивают данные конфигурации загрузки (Boot Configuration Data, BCD), чтобы включить безопасный режим с сетевыми подключениями и перезагрузить взломанную систему.

Комментарии: 0
Похожие записи
0
33 минуты
MITRE ATT&CK

MITRE ATT&CK T1562.007 Ослабление защиты: Отключение или модификация облачного брандмауэра

MITRE ATT&CK
Отключение или изменение облачного брандмауэра - это техника уклонения от защиты, с помощью которой злоумышленники манипулируют конфигурацией облачного брандмауэра, чтобы обойти средства контроля безопасности и совершить вредоносные действия.
0
35 минут
MITRE ATT&CK

MITRE ATT&CK T1562.006 Ослабление защиты: Блокирование индикаторов

MITRE ATT&CK
Блокирование индикаторов - это техника уклонения от защиты, которую злоумышленники используют для того, чтобы помешать средствам безопасности обнаружить или сообщить о вредоносной активности путем вмешательства в индикаторы компрометации (IOC).
0
2 часа
MITRE ATT&CK

MITRE ATT&CK T1562.003 - Ослабление защиты: Запись в журнал истории команд

MITRE ATT&CK
Нарушение записи истории команд - это техника обхода защиты, которую злоумышленники используют для манипулирования или отключения записи истории команд, чтобы скрыть свою деятельность.
0
22 часа
MITRE ATT&CK

MITRE ATT&CK T1562.010 - Ослабление защиты: Атака "на понижение"

MITRE ATT&CK
Атака "на понижение" (Downgrade Attack) - это техника уклонения от защиты, которую злоумышленники используют для намеренного снижения уровня безопасности системы, заставляя ее использовать более слабые