جعل Parent PID
Parent PID Spoofingتوضیحات
مهاجمان شناسه فرآیند والد (PPID) فرآیندهای جدید را جعل میکنند تا از ابزارهای نظارت فرآیند فرار کنند یا سطح دسترسی را ارتقاء دهند. با استفاده از CreateProcess API و STARTUPINFOEX، مهاجمان میتوانند فرآیندی را به عنوان فرزند یک فرآیند با سطح دسترسی بالا ایجاد کنند.
روشهای شناسایی
نظارت بر فرآیندهایی که PPID آنها با فرآیند واقعی والد مطابقت ندارد. بررسی زنجیره فرآیندهای مشکوک. شناسایی استفاده از STARTUPINFOEX. تحلیل رفتار فرآیندها با EDR.
روشهای مقابله
استفاده از EDR با قابلیت تشخیص PPID spoofing. نظارت بر زنجیره فرآیندها. پیادهسازی Application Whitelisting. استفاده از Windows Defender. بهروزرسانی ویندوز.
تکنیک اصلی
دستکاری توکن دسترسی
مهاجمان توکنهای دسترسی ویندوز را دستکاری میکنند تا با زمینه امنیتی کاربر یا سیستم دیگری عمل کنند. ویندوز از توکنهای دسترسی برای تعیین مالکیت فرآیند استفاده میکند. با سرقت یا جعل توکن، مهاجمان میتوانند سطح دسترسی خود را از مدیر به SYSTEM ارتقاء دهند.