T1003.007
سیستم فایل Proc
Proc Filesystemتوضیحات
مهاجمان در لینوکس از سیستم فایل /proc برای استخراج اطلاعات اعتباری از حافظه فرآیندها استفاده میکنند.
روشهای شناسایی
نظارت بر دسترسی به /proc/[pid]/mem و /proc/[pid]/maps.
روشهای مقابله
محدود کردن دسترسی به /proc. استفاده از SELinux یا AppArmor.
تکنیک اصلی
T1003OS Credential Dumping
استخراج اطلاعات اعتباری سیستمعامل
مهاجمان اطلاعات اعتباری را از حافظه سیستمعامل، فایلها یا رجیستری استخراج میکنند تا اطلاعات ورود به حساب را به صورت hash یا متن ساده به دست آورند.