T1036.005
تطابق با نام یا مکان قانونی
Match Legitimate Name or Locationتوضیحات
مهاجمان فایلهای مخرب را با نامها یا در مکانهایی که مشابه فایلهای قانونی هستند قرار میدهند. مثلاً فایل مخرب را در C:\Windows\System32\ با نام مشابه یک فایل سیستمی قرار میدهند.
روشهای شناسایی
بررسی hash فایلهای در مسیرهای سیستمی. نظارت بر فایلهای جدید در مسیرهای سیستمی. شناسایی فایلهای با نام مشابه ابزارهای سیستمی. استفاده از File Integrity Monitoring.
روشهای مقابله
پیادهسازی File Integrity Monitoring. بررسی hash فایلهای سیستمی. نظارت بر تغییرات در مسیرهای سیستمی. استفاده از Application Whitelisting. استفاده از EDR.
تکنیک اصلی
T1036Masquerading
جعل هویت
مهاجمان نام، مکان یا ظاهر فایلها و فرآیندهای مخرب را تغییر میدهند تا قانونی به نظر برسند. این تکنیک شامل استفاده از نامهای مشابه فایلهای سیستمی، قرار دادن فایلها در مسیرهای قانونی و جعل امضای دیجیتال میشود.