T1036.001
امضای کد نامعتبر
Invalid Code Signatureتوضیحات
مهاجمان امضاهای کد نامعتبر یا جعلی را به فایلهای اجرایی اضافه میکنند تا قانونی به نظر برسند. برخی ابزارهای امنیتی تنها وجود امضا را بررسی میکنند نه اعتبار آن را.
روشهای شناسایی
بررسی اعتبار امضای دیجیتال فایلها. شناسایی امضاهای نامعتبر. نظارت بر فایلهای با امضای مشکوک. تحلیل certificateهای امضا.
روشهای مقابله
بررسی اعتبار کامل امضای دیجیتال. پیادهسازی Application Whitelisting. نظارت بر فایلهای اجرایی. استفاده از EDR. آموزش تیم SOC.
تکنیک اصلی
T1036Masquerading
جعل هویت
مهاجمان نام، مکان یا ظاهر فایلها و فرآیندهای مخرب را تغییر میدهند تا قانونی به نظر برسند. این تکنیک شامل استفاده از نامهای مشابه فایلهای سیستمی، قرار دادن فایلها در مسیرهای قانونی و جعل امضای دیجیتال میشود.