T1106
API بومی
Native APIتوضیحات
مهاجمان از APIهای بومی سیستمعامل برای اجرای رفتارهای مخرب استفاده میکنند. APIهای بومی مانند Windows Native API میتوانند برای دور زدن لایههای امنیتی و اجرای کد مستقیماً در سطح هسته استفاده شوند. این روش اغلب توسط بدافزارهای پیشرفته استفاده میشود.
روشهای شناسایی
نظارت بر فراخوانیهای API سطح پایین. شناسایی استفاده غیرعادی از ntdll.dll و سایر کتابخانههای بومی. بررسی رفتار فرآیندها با ابزارهای EDR. تحلیل syscallهای مشکوک.
روشهای مقابله
استفاده از Windows Defender Credential Guard. پیادهسازی Exploit Protection. نظارت بر فراخوانیهای API. استفاده از EDR با قابلیت تحلیل رفتار. بهروزرسانی منظم سیستم.