ویژگیهای دسترسیپذیری
Accessibility Featuresتوضیحات
مهاجمان برنامههای دسترسیپذیری ویندوز مانند Sticky Keys، Utilman و Narrator را با cmd.exe یا سایر ابزارها جایگزین میکنند تا بدون احراز هویت به سیستم دسترسی داشته باشند. این تکنیک با فشار دادن کلیدهای میانبر در صفحه ورود فعال میشود.
روشهای شناسایی
بررسی یکپارچگی فایلهای دسترسیپذیری. نظارت بر تغییرات در sethc.exe، utilman.exe و سایر برنامههای دسترسیپذیری. شناسایی فرآیندهای cmd.exe اجرا شده از صفحه ورود. تحلیل لاگهای احراز هویت.
روشهای مقابله
پیادهسازی File Integrity Monitoring. استفاده از Network Level Authentication برای RDP. محدود کردن دسترسی به فایلهای سیستمی. استفاده از Windows Defender Credential Guard. بررسی منظم فایلهای دسترسیپذیری.
تکنیک اصلی
اجرای مبتنی بر رویداد
مهاجمان مکانیزمهای اجرای مبتنی بر رویداد را برای ایجاد پایداری پیکربندی میکنند. این تکنیک شامل تغییر تنظیماتی است که باعث میشود کد مخرب در پاسخ به رویدادهای خاص سیستم اجرا شود. رویدادهایی مانند ورود کاربر، تغییر فایل یا رویدادهای WMI میتوانند اجرای کد مخرب را آغاز کنند.