T1055.013

Process Doppelgänging

توضیحات

مهاجمان از Windows Transactional NTFS (TxF) برای ایجاد فرآیندهایی از فایل‌های مخرب که هرگز روی دیسک نوشته نمی‌شوند استفاده می‌کنند. این تکنیک بسیاری از ابزارهای امنیتی را دور می‌زند زیرا فایل مخرب در سیستم فایل قابل مشاهده نیست.

روش‌های شناسایی

نظارت بر استفاده از TxF API‌ها. شناسایی فرآیندهای ایجاد شده از transaction‌های باز. بررسی رفتار غیرعادی فرآیندها. استفاده از EDR پیشرفته.

روش‌های مقابله

استفاده از EDR پیشرفته. فعال‌سازی DEP و ASLR. به‌روزرسانی ویندوز. پیاده‌سازی Application Whitelisting. استفاده از Windows Defender.

تکنیک اصلی

T1055Process Injection

تزریق به فرآیند

مهاجمان کد مخرب را به فرآیندهای در حال اجرا تزریق می‌کنند تا از فضای آدرس آن‌ها برای پنهان‌سازی و ارتقاء سطح دسترسی استفاده کنند. تزریق به فرآیندهای با سطح دسترسی بالا می‌تواند به مهاجمان اجازه دهد به منابع سیستمی که معمولاً غیرقابل دسترس هستند دسترسی داشته باشند.

سایر زیرتکنیک‌ها (6)

T1055.001 · تزریق DLL T1055.002 · تزریق Portable Executable T1055.003 · ربودن اجرای thread T1055.004 · فراخوانی رویه ناهمزمان T1055.012 · Process Hollowing T1055.015 · ListPlanting