T1480
محافظ اجرا
Execution Guardrailsتوضیحات
مهاجمان payloadهای خود را با شرایطی پیکربندی میکنند که تنها در محیطهای هدف خاص اجرا شوند. این تکنیک از اجرای تصادفی در محیطهای تحلیل جلوگیری میکند و شناسایی را دشوارتر میکند. شرایط میتوانند شامل نام کامپیوتر، نام کاربر، زبان سیستم یا سایر مشخصات محیطی باشند.
روشهای شناسایی
تحلیل رفتار بدافزار در sandbox. شناسایی بررسیهای محیطی در کد. بررسی شرایط اجرا در payloadها. استفاده از dynamic analysis.
روشهای مقابله
استفاده از sandbox پیشرفته. تحلیل استاتیک و دینامیک. پیادهسازی چندین لایه دفاعی. استفاده از threat intelligence. آموزش تیم SOC.