تزریق Portable Executable
Portable Executable Injectionتوضیحات
مهاجمان کد PE (Portable Executable) مخرب را مستقیماً به حافظه فرآیندهای در حال اجرا تزریق میکنند. برخلاف DLL injection، این روش نیازی به فایل روی دیسک ندارد و میتواند کاملاً در حافظه اجرا شود. این تکنیک برای اجرای fileless malware استفاده میشود.
روشهای شناسایی
نظارت بر نوشتن به حافظه فرآیندهای دیگر. شناسایی اجرای کد از مناطق حافظه غیرمعمول. بررسی فرآیندها با کد اجرایی inject شده. استفاده از EDR با قابلیت memory scanning.
روشهای مقابله
فعالسازی DEP و ASLR. استفاده از Control Flow Guard. پیادهسازی EDR. استفاده از Windows Defender. بهروزرسانی ویندوز.
تکنیک اصلی
تزریق به فرآیند
مهاجمان کد مخرب را به فرآیندهای در حال اجرا تزریق میکنند تا از فضای آدرس آنها برای پنهانسازی و ارتقاء سطح دسترسی استفاده کنند. تزریق به فرآیندهای با سطح دسترسی بالا میتواند به مهاجمان اجازه دهد به منابع سیستمی که معمولاً غیرقابل دسترس هستند دسترسی داشته باشند.