T1055.001

تزریق DLL

Dynamic-link Library Injection

توضیحات

مهاجمان DLL‌های مخرب را به فرآیندهای در حال اجرا تزریق می‌کنند. با استفاده از API‌هایی مانند CreateRemoteThread و LoadLibrary، مهاجمان می‌توانند DLL مخرب را در فضای آدرس یک فرآیند قانونی بارگذاری کنند. این تکنیک برای پنهان‌سازی و ارتقاء سطح دسترسی استفاده می‌شود.

روش‌های شناسایی

نظارت بر فراخوانی CreateRemoteThread و LoadLibrary. شناسایی DLL‌های بارگذاری شده از مسیرهای غیرعادی. بررسی فرآیندها با DLL‌های مشکوک. تحلیل رفتار فرآیندها با EDR.

روش‌های مقابله

استفاده از Windows Defender Credential Guard. پیاده‌سازی Control Flow Guard. استفاده از EDR. فعال‌سازی Protected Process Light. به‌روزرسانی ویندوز.

تکنیک اصلی

T1055Process Injection

تزریق به فرآیند

مهاجمان کد مخرب را به فرآیندهای در حال اجرا تزریق می‌کنند تا از فضای آدرس آن‌ها برای پنهان‌سازی و ارتقاء سطح دسترسی استفاده کنند. تزریق به فرآیندهای با سطح دسترسی بالا می‌تواند به مهاجمان اجازه دهد به منابع سیستمی که معمولاً غیرقابل دسترس هستند دسترسی داشته باشند.

سایر زیرتکنیک‌ها (6)

T1055.002 · تزریق Portable Executable T1055.003 · ربودن اجرای thread T1055.004 · فراخوانی رویه ناهمزمان T1055.012 · Process Hollowing T1055.013 · Process Doppelgänging T1055.015 · ListPlanting