T1129
ماژولهای مشترک
Shared Modulesتوضیحات
مهاجمان از مکانیزمهای بارگذاری ماژول مشترک سیستمعامل برای اجرای payloadهای مخرب سوءاستفاده میکنند. DLLهای مخرب میتوانند در مسیرهای جستجوی سیستم قرار گیرند تا توسط برنامههای قانونی بارگذاری شوند. این تکنیک اغلب با DLL Side-Loading ترکیب میشود.
روشهای شناسایی
نظارت بر بارگذاری DLL از مسیرهای غیرعادی. شناسایی DLLهای مشکوک در مسیرهای سیستمی. بررسی امضای دیجیتال DLLها. تحلیل رفتار فرآیندها پس از بارگذاری ماژول.
روشهای مقابله
استفاده از Safe DLL Search Mode. پیادهسازی Application Whitelisting. بررسی یکپارچگی فایلهای سیستمی. محدود کردن مجوزهای نوشتن در مسیرهای سیستمی. استفاده از امضای دیجیتال.