اجرای مبتنی بر رویداد
Event Triggered Executionتوضیحات
مهاجمان مکانیزمهای اجرای مبتنی بر رویداد را برای ایجاد پایداری پیکربندی میکنند. این تکنیک شامل تغییر تنظیماتی است که باعث میشود کد مخرب در پاسخ به رویدادهای خاص سیستم اجرا شود. رویدادهایی مانند ورود کاربر، تغییر فایل یا رویدادهای WMI میتوانند اجرای کد مخرب را آغاز کنند.
زیرتکنیکها (4)
مهاجمان از اشتراک رویداد WMI برای اجرای کد مخرب در پاسخ به رویدادهای سیستم استفاده میکنند. WMI Event Subscription شامل سه کامپوننت است: EventFilter، EventConsumer و FilterToConsumerBinding. این تکنیک میتواند برای اجرای کد بدون فایل (fileless) استفاده شود.
مهاجمان برنامههای دسترسیپذیری ویندوز مانند Sticky Keys، Utilman و Narrator را با cmd.exe یا سایر ابزارها جایگزین میکنند تا بدون احراز هویت به سیستم دسترسی داشته باشند. این تکنیک با فشار دادن کلیدهای میانبر در صفحه ورود فعال میشود.
مهاجمان از Application Compatibility Shim Database ویندوز برای اجرای کد مخرب استفاده میکنند. Shimها برای سازگاری برنامههای قدیمی با ویندوز جدید طراحی شدهاند اما میتوانند برای inject کردن DLL، دور زدن UAC و اجرای کد مخرب استفاده شوند.
مهاجمان رجیستری COM را تغییر میدهند تا DLLهای مخرب را به جای کامپوننتهای قانونی بارگذاری کنند. با تغییر مسیر DLL در رجیستری HKCU، مهاجمان میتوانند بدون نیاز به سطح دسترسی مدیر، کد مخرب را در فرآیندهای قانونی inject کنند.
روشهای شناسایی
نظارت بر تغییرات در تنظیمات event trigger. بررسی اشتراکهای WMI. شناسایی تغییرات در رجیستری مرتبط با event. تحلیل لاگهای سیستم برای رویدادهای مشکوک.
روشهای مقابله
نظارت بر مکانیزمهای event trigger. محدود کردن دسترسی به WMI. بررسی منظم تنظیمات event. استفاده از Application Whitelisting. پیادهسازی حداقل سطح دسترسی.