T1014
Rootkit
Rootkitتوضیحات
مهاجمان از rootkitها برای پنهان کردن وجود بدافزار در سیستم استفاده میکنند. Rootkitها میتوانند فرآیندها، فایلها، اتصالات شبکه و سایر آثار را از ابزارهای امنیتی و کاربران پنهان کنند. Rootkitها میتوانند در سطح user-mode یا kernel-mode عمل کنند.
روشهای شناسایی
استفاده از ابزارهای تشخیص rootkit. بررسی یکپارچگی kernel. نظارت بر رفتار غیرعادی سیستم. استفاده از memory forensics. بررسی ماژولهای kernel.
روشهای مقابله
فعالسازی Secure Boot. استفاده از TPM. پیادهسازی Kernel Patch Protection. استفاده از ابزارهای تشخیص rootkit. بهروزرسانی منظم سیستم.