بهرهبرداری برای ارتقاء سطح دسترسی
Exploitation for Privilege Escalationتوضیحات
مهاجمان از آسیبپذیریهای نرمافزاری برای ارتقاء سطح دسترسی استفاده میکنند. این تکنیک شامل بهرهبرداری از باگهای kernel، درایورها، سرویسهای سیستمی و سایر نرمافزارهایی است که با سطح دسترسی بالا اجرا میشوند. موفقیت در این تکنیک معمولاً منجر به دسترسی SYSTEM یا root میشود.
روشهای شناسایی
نظارت بر crashهای غیرعادی فرآیندها. شناسایی بهرهبرداری از آسیبپذیریهای شناخته شده. بررسی رفتار غیرعادی kernel. استفاده از EDR با قابلیت تشخیص exploit.
روشهای مقابله
بهروزرسانی منظم سیستمعامل و نرمافزارها. فعالسازی Exploit Protection. استفاده از DEP و ASLR. پیادهسازی Kernel Patch Protection. محدود کردن دسترسی به درایورها.
گروههای تهدید (2)
APT28 — Fancy Bear
APT28 یک گروه تهدید پیشرفته مرتبط با اطلاعات نظامی روسیه (GRU) است. این گروه از سال ۲۰۰۴ فعال بوده و به حملات علیه سازمانهای سیاسی، نظامی، رسانهای و سازمانهای بینالمللی شناخته میشود. دخالت در انتخابات ریاستجمهوری آمریکا در ۲۰۱۶ از مشهورترین عملیات این گروه است.
نامهای دیگر: خرس تزئینی، Sofacy، Pawn Storm
APT41 — Double Dragon
APT41 یک گروه تهدید پیشرفته مرتبط با چین است که هم به انگیزه جاسوسی دولتی و هم به انگیزه مالی عمل میکند. این گروه از سال ۲۰۱۲ فعال بوده و صنایع بهداشت، فناوری، مخالیکاسیون و بازیهای ویدیویی را هدف قرار داده است.
نامهای دیگر: اژدهای دوگانه، Winnti، Barium