T1036.003
تغییر نام ابزارهای سیستمی
Rename System Utilitiesتوضیحات
مهاجمان ابزارهای سیستمی را کپی و تغییر نام میدهند تا از شناسایی مبتنی بر نام فرار کنند. مثلاً cmd.exe را به svchost.exe تغییر نام میدهند تا در لیست فرآیندها مشکوک به نظر نرسد.
روشهای شناسایی
بررسی hash فایلهای اجرایی با نامهای سیستمی. نظارت بر فرآیندهایی که نام سیستمی دارند اما از مسیر غیرعادی اجرا میشوند. شناسایی ابزارهای سیستمی با رفتار غیرعادی. استفاده از EDR.
روشهای مقابله
پیادهسازی Application Whitelisting. بررسی hash فایلها. نظارت بر مسیر اجرای فرآیندها. استفاده از EDR. فعالسازی Audit Process Creation.
تکنیک اصلی
T1036Masquerading
جعل هویت
مهاجمان نام، مکان یا ظاهر فایلها و فرآیندهای مخرب را تغییر میدهند تا قانونی به نظر برسند. این تکنیک شامل استفاده از نامهای مشابه فایلهای سیستمی، قرار دادن فایلها در مسیرهای قانونی و جعل امضای دیجیتال میشود.