فراخوانی رویه ناهمزمان
Asynchronous Procedure Callتوضیحات
مهاجمان از Asynchronous Procedure Call (APC) برای تزریق کد به threadهای فرآیندهای دیگر استفاده میکنند. APC یک مکانیزم ویندوز برای اجرای کد در زمینه یک thread خاص است. مهاجمان میتوانند APC مخرب را به threadهای در حالت alertable state صف کنند.
روشهای شناسایی
نظارت بر فراخوانی QueueUserAPC. شناسایی APCهای مشکوک در threadهای فرآیندها. بررسی رفتار غیرعادی فرآیندها. استفاده از EDR.
روشهای مقابله
استفاده از Control Flow Guard. پیادهسازی EDR. فعالسازی Protected Process Light. استفاده از Windows Defender. بهروزرسانی ویندوز.
تکنیک اصلی
تزریق به فرآیند
مهاجمان کد مخرب را به فرآیندهای در حال اجرا تزریق میکنند تا از فضای آدرس آنها برای پنهانسازی و ارتقاء سطح دسترسی استفاده کنند. تزریق به فرآیندهای با سطح دسترسی بالا میتواند به مهاجمان اجازه دهد به منابع سیستمی که معمولاً غیرقابل دسترس هستند دسترسی داشته باشند.