ربودن اجرای thread
Thread Execution Hijackingتوضیحات
مهاجمان threadهای موجود در فرآیندهای قانونی را suspend میکنند، کد مخرب را به حافظه آنها مینویسند و سپس اجرا را از سر میگیرند. این تکنیک به مهاجمان اجازه میدهد کد مخرب را در زمینه فرآیندهای قانونی اجرا کنند.
روشهای شناسایی
نظارت بر فراخوانی SuspendThread و SetThreadContext. شناسایی تغییرات مشکوک در threadهای فرآیندها. بررسی رفتار غیرعادی threadها. استفاده از EDR.
روشهای مقابله
استفاده از Control Flow Guard. پیادهسازی EDR. فعالسازی Protected Process Light. استفاده از Windows Defender. بهروزرسانی ویندوز.
تکنیک اصلی
تزریق به فرآیند
مهاجمان کد مخرب را به فرآیندهای در حال اجرا تزریق میکنند تا از فضای آدرس آنها برای پنهانسازی و ارتقاء سطح دسترسی استفاده کنند. تزریق به فرآیندهای با سطح دسترسی بالا میتواند به مهاجمان اجازه دهد به منابع سیستمی که معمولاً غیرقابل دسترس هستند دسترسی داشته باشند.