T1091
تکثیر از طریق رسانه قابل حمل
Replication Through Removable Mediaتوضیحات
مهاجمان بدافزار را روی رسانههای قابل حمل مانند USB، CD/DVD یا هارد دیسک خارجی کپی میکنند تا سیستمهایی را که به اینترنت متصل نیستند (air-gapped) آلوده کنند. بدافزار ممکن است به صورت خودکار اجرا شود یا کاربر را فریب دهد تا آن را اجرا کند. این تکنیک برای نفوذ به شبکههای ایزوله استفاده میشود.
روشهای شناسایی
پایش اتصال رسانههای قابل حمل. نظارت بر فایلهای autorun. شناسایی کپی فایلهای مشکوک از رسانههای قابل حمل. استفاده از EDR برای شناسایی اجرای کد از USB.
روشهای مقابله
غیرفعالسازی autorun برای رسانههای قابل حمل. پیادهسازی سیاستهای کنترل دستگاه USB. اسکن رسانههای قابل حمل قبل از استفاده. آموزش کارمندان در مورد خطرات USB های ناشناخته. استفاده از application whitelisting.