اجرای proxy با باینری سیستمی
System Binary Proxy Executionتوضیحات
مهاجمان از باینریهای امضاشده و مورد اعتماد سیستم برای اجرای payloadهای مخرب استفاده میکنند. این تکنیک که به عنوان Living off the Land نیز شناخته میشود، از ابزارهایی مانند rundll32، regsvr32، mshta، certutil و سایر ابزارهای سیستمی برای دور زدن Application Whitelisting استفاده میکند.
زیرتکنیکها (4)
مهاجمان از Microsoft Connection Manager Profile Installer (CMSTP.exe) برای اجرای DLLهای مخرب یا دور زدن UAC استفاده میکنند. CMSTP یک باینری امضاشده ویندوز است که میتواند برای اجرای payloadهای مخرب استفاده شود.
مهاجمان از mshta.exe برای اجرای فایلهای HTA (HTML Application) مخرب استفاده میکنند. HTA فایلها میتوانند شامل VBScript یا JScript باشند که با سطح دسترسی کامل اجرا میشوند. mshta.exe یک باینری امضاشده ویندوز است.
مهاجمان از regsvr32.exe برای اجرای DLLهای مخرب و دور زدن Application Whitelisting استفاده میکنند. regsvr32 میتواند COM scriptletها را از URLهای خارجی دانلود و اجرا کند که به این تکنیک Squiblydoo نیز گفته میشود.
روشهای شناسایی
نظارت بر استفاده غیرعادی از باینریهای سیستمی. شناسایی rundll32 و regsvr32 با آرگومانهای مشکوک. بررسی دانلود از URLهای خارجی توسط ابزارهای سیستمی. تحلیل رفتار باینریهای سیستمی.
روشهای مقابله
پیادهسازی Application Whitelisting. نظارت بر باینریهای سیستمی. استفاده از Attack Surface Reduction Rules. محدود کردن دسترسی به ابزارهای سیستمی. استفاده از EDR.