T1091

تکثیر از طریق رسانه قابل حمل

Replication Through Removable Media

توضیحات

مهاجمان بدافزار را روی رسانه‌های قابل حمل مانند USB، CD/DVD یا هارد دیسک خارجی کپی می‌کنند تا سیستم‌هایی را که به اینترنت متصل نیستند (air-gapped) آلوده کنند. بدافزار ممکن است به صورت خودکار اجرا شود یا کاربر را فریب دهد تا آن را اجرا کند. این تکنیک برای نفوذ به شبکه‌های ایزوله استفاده می‌شود.

روش‌های شناسایی

پایش اتصال رسانه‌های قابل حمل. نظارت بر فایل‌های autorun. شناسایی کپی فایل‌های مشکوک از رسانه‌های قابل حمل. استفاده از EDR برای شناسایی اجرای کد از USB.

روش‌های مقابله

غیرفعال‌سازی autorun برای رسانه‌های قابل حمل. پیاده‌سازی سیاست‌های کنترل دستگاه USB. اسکن رسانه‌های قابل حمل قبل از استفاده. آموزش کارمندان در مورد خطرات USB های ناشناخته. استفاده از application whitelisting.