T1036.007
پسوند فایل دوگانه
Double File Extensionتوضیحات
مهاجمان از پسوندهای فایل دوگانه مانند invoice.pdf.exe استفاده میکنند تا کاربران را فریب دهند. ویندوز به صورت پیشفرض پسوند فایل را پنهان میکند، بنابراین کاربر فقط invoice.pdf را میبیند.
روشهای شناسایی
شناسایی فایلهای با پسوند دوگانه. نظارت بر اجرای فایلهای با پسوند مشکوک. آموزش کاربران. بررسی فایلهای دریافتی از ایمیل.
روشهای مقابله
نمایش پسوند فایل در ویندوز. آموزش کاربران. پیادهسازی فیلترهای ایمیل. استفاده از sandbox. نظارت بر اجرای فایلها.
تکنیک اصلی
T1036Masquerading
جعل هویت
مهاجمان نام، مکان یا ظاهر فایلها و فرآیندهای مخرب را تغییر میدهند تا قانونی به نظر برسند. این تکنیک شامل استفاده از نامهای مشابه فایلهای سیستمی، قرار دادن فایلها در مسیرهای قانونی و جعل امضای دیجیتال میشود.