T1204

اجرای توسط کاربر

User Execution

توضیحات

مهاجمان به کاربران متکی هستند تا کد مخرب را اجرا کنند. کاربران ممکن است فریب بخورند تا یک فایل مخرب را باز کنند، روی یک لینک کلیک کنند یا یک تصویر آلوده را اجرا کنند. این تکنیک اغلب در کمپین‌های فیشینگ و مهندسی اجتماعی استفاده می‌شود.

زیرتکنیک‌ها (3)

شناسهنام

T1204.001

لینک مخربMalicious Link

مهاجمان کاربران را فریب می‌دهند تا روی لینک‌های مخرب کلیک کنند که منجر به دانلود و اجرای کد مخرب می‌شود. این لینک‌ها ممکن است از طریق ایمیل، پیام‌های فوری یا وب‌سایت‌های آلوده ارسال شوند. کلیک روی لینک می‌تواند دانلود فایل مخرب، بهره‌برداری از مرورگر یا اجرای کد را آغاز کند.

T1204.002

فایل مخربMalicious File

مهاجمان کاربران را فریب می‌دهند تا فایل‌های مخرب را باز کنند یا اجرا کنند. این فایل‌ها ممکن است به عنوان اسناد، تصاویر یا نرم‌افزارهای قانونی ظاهر شوند. باز کردن فایل می‌تواند ماکروهای مخرب، بهره‌برداری از آسیب‌پذیری یا اجرای کد را آغاز کند.

T1204.003

تصویر مخربMalicious Image

مهاجمان تصاویر کانتینر یا ماشین مجازی مخرب ایجاد می‌کنند تا کاربران را فریب دهند. این تصاویر ممکن است در registry‌های عمومی منتشر شوند و به عنوان نرم‌افزارهای قانونی ظاهر شوند. اجرای این تصاویر می‌تواند منجر به اجرای کد مخرب در محیط‌های کانتینری شود.

روش‌های شناسایی

نظارت بر اجرای فایل‌های دانلود شده. شناسایی فرآیندهای ایجاد شده از طریق ایمیل یا مرورگر. بررسی رفتار کاربران با ابزارهای UEBA. آموزش و آگاهی‌بخشی به کاربران.

روش‌های مقابله

آموزش کاربران در مورد فیشینگ و مهندسی اجتماعی. پیاده‌سازی فیلترهای ایمیل. استفاده از sandbox برای باز کردن فایل‌های ناشناخته. محدود کردن اجرای فایل‌ها از مکان‌های مشکوک. فعال‌سازی Protected View در Office.