T1546.011

Application Shimming

توضیحات

مهاجمان از Application Compatibility Shim Database ویندوز برای اجرای کد مخرب استفاده می‌کنند. Shim‌ها برای سازگاری برنامه‌های قدیمی با ویندوز جدید طراحی شده‌اند اما می‌توانند برای inject کردن DLL، دور زدن UAC و اجرای کد مخرب استفاده شوند.

روش‌های شناسایی

نظارت بر نصب Shim Database جدید. بررسی فایل‌های .sdb. شناسایی استفاده از sdbinst.exe. تحلیل Shim Database‌های موجود.

روش‌های مقابله

نظارت بر Shim Database. محدود کردن دسترسی به sdbinst.exe. بررسی منظم Shim Database‌ها. استفاده از Application Whitelisting. پیاده‌سازی حداقل سطح دسترسی.

تکنیک اصلی

T1546Event Triggered Execution

اجرای مبتنی بر رویداد

مهاجمان مکانیزم‌های اجرای مبتنی بر رویداد را برای ایجاد پایداری پیکربندی می‌کنند. این تکنیک شامل تغییر تنظیماتی است که باعث می‌شود کد مخرب در پاسخ به رویدادهای خاص سیستم اجرا شود. رویدادهایی مانند ورود کاربر، تغییر فایل یا رویدادهای WMI می‌توانند اجرای کد مخرب را آغاز کنند.

سایر زیرتکنیک‌ها (3)

T1546.003 · اشتراک رویداد WMI T1546.008 · ویژگی‌های دسترسی‌پذیری T1546.015 · ربودن Component Object Model