Информация о событии Внедрение кода

В окне с информацией о событиях типа Внедрение кода содержатся следующие сведения:

• Дерево событий.
• Действия, которые можно выполнить для обработки события.
• Раздел Внедрение кода:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), в соответствии с которым выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Файл – путь к файлу целевого процесса.
  • ID процесса – идентификатор целевого процесса.
  • Параметры запуска – параметры запуска целевого процесса.
  • Измененные параметры запуска – измененные параметры запуска целевого процесса.

    Поле отображается, если внедрение кода произошло с помощью метода ARG_SPOOFING.

  • MD5 – MD5-хеш файла целевого процесса.
  • SHA256 – SHA256-хеш файла целевого процесса.
  • Метод доступа – метод доступа к целевому процессу.

    В поле могут отображаться следующие значения: WRITE_EXECUTABLE_MEMORY, SET_WINDOWS_HOOK, QUEUE_APC_THREAD, SET_THREAD_CONTEXT – .MAP_VIEW_OF_SECTION, CREATE_REMOTE_THREAD, ARG_SPOOFING.

  • Адресное пространство – адрес в адресном пространстве целевого процесса, куда был размещен удаленно запускаемый код.

    Поле не заполняется, если внедрение кода произошло с помощью методов SET_WINDOWS_HOOK и ARG_SPOOFING.

  • Параметры системного вызова – команда, с которой был запущен целевой процесс.
  • Имя DLL – имя DLL, содержащей процедуру перехватчика и имя функции, которой передается управление после внедрения.

    Поле заполняется, если внедрение кода произошло с помощью метода SET_WINDOWS_HOOK.

  • Полный путь к DLL – путь к DLL, содержащей процедуру перехватчика.

    Поле заполняется, если внедрение кода произошло с помощью метода SET_WINDOWS_HOOK.

  • Время события – время внедрения кода.
  • Трассировка вызова – стек вызовов API на момент перехвата функции, связанной с внедрением кода.
• Раздел Инициатор события:
  • Файл – имя файла родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором произошло внедрение кода.
  • Имя пользователя – имя пользователя, под учетной записью которого произошло внедрение кода.
  • Версия ОС – версия операционной системы, используемой на хосте.

В начало