T1055.015

ListPlanting

توضیحات

مهاجمان از پنجره‌های ListView در برنامه‌های ویندوز برای تزریق کد استفاده می‌کنند. با ارسال پیام‌های خاص به پنجره‌های ListView، مهاجمان می‌توانند callback function‌های مخرب را در زمینه فرآیند هدف اجرا کنند.

روش‌های شناسایی

نظارت بر ارسال پیام‌های مشکوک به پنجره‌ها. شناسایی استفاده غیرعادی از SendMessage API. بررسی رفتار فرآیندها. استفاده از EDR.

روش‌های مقابله

استفاده از EDR. فعال‌سازی Control Flow Guard. به‌روزرسانی ویندوز. پیاده‌سازی Application Whitelisting. استفاده از Windows Defender.

تکنیک اصلی

T1055Process Injection

تزریق به فرآیند

مهاجمان کد مخرب را به فرآیندهای در حال اجرا تزریق می‌کنند تا از فضای آدرس آن‌ها برای پنهان‌سازی و ارتقاء سطح دسترسی استفاده کنند. تزریق به فرآیندهای با سطح دسترسی بالا می‌تواند به مهاجمان اجازه دهد به منابع سیستمی که معمولاً غیرقابل دسترس هستند دسترسی داشته باشند.

سایر زیرتکنیک‌ها (6)

T1055.001 · تزریق DLL T1055.002 · تزریق Portable Executable T1055.003 · ربودن اجرای thread T1055.004 · فراخوانی رویه ناهمزمان T1055.012 · Process Hollowing T1055.013 · Process Doppelgänging