ایجاد یا تغییر فرآیند سیستمی
Create or Modify System Processتوضیحات
مهاجمان فرآیندهای سطح سیستم را ایجاد یا تغییر میدهند تا کد مخرب را به طور مکرر اجرا کنند. سرویسهای ویندوز، daemonهای لینوکس و Launch Agent/Daemonهای macOS میتوانند برای اجرای payloadهای مخرب با سطح دسترسی بالا پیکربندی شوند.
زیرتکنیکها (4)
مهاجمان فایلهای plist مربوط به Launch Agent در macOS را ایجاد یا تغییر میدهند تا کد مخرب را با سطح دسترسی کاربر اجرا کنند. Launch Agentها در ~/Library/LaunchAgents/ و /Library/LaunchAgents/ قرار دارند و در هنگام ورود کاربر اجرا میشوند.
مهاجمان فایلهای سرویس systemd را در لینوکس ایجاد یا تغییر میدهند تا payloadهای مخرب را در هنگام بوت سیستم اجرا کنند. فایلهای سرویس systemd در /etc/systemd/system/ و /lib/systemd/system/ قرار دارند.
مهاجمان سرویسهای ویندوز را ایجاد یا تغییر میدهند تا کد مخرب را با سطح دسترسی SYSTEM اجرا کنند. سرویسهای ویندوز میتوانند برای اجرا، پایداری و ارتقاء سطح دسترسی استفاده شوند. ابزارهایی مانند sc.exe، PsExec و Metasploit برای این منظور استفاده میشوند.
مهاجمان فایلهای plist مربوط به Launch Daemon در macOS را ایجاد یا تغییر میدهند تا payloadهای مخرب را با سطح دسترسی root اجرا کنند. Launch Daemonها در /Library/LaunchDaemons/ قرار دارند و قبل از ورود کاربر اجرا میشوند.
روشهای شناسایی
نظارت بر ایجاد و تغییر سرویسهای سیستمی. بررسی فایلهای پیکربندی سرویس. شناسایی سرویسهای با مسیرهای مشکوک. تحلیل لاگهای Service Control Manager.
روشهای مقابله
محدود کردن دسترسی به ایجاد سرویس. نظارت بر تغییرات سرویسهای سیستمی. استفاده از حداقل سطح دسترسی. بررسی منظم سرویسهای در حال اجرا. پیادهسازی Application Whitelisting.