DLL کمکی Winlogon
Winlogon Helper DLLتوضیحات
مهاجمان رجیستری Winlogon را تغییر میدهند تا DLLهای مخرب را در هنگام ورود کاربر بارگذاری کنند. Winlogon فرآیند ویندوز مسئول مدیریت ورود و خروج کاربر است. مهاجمان میتوانند مقادیر Userinit یا Shell را در رجیستری Winlogon تغییر دهند.
روشهای شناسایی
نظارت بر تغییرات رجیستری Winlogon. بررسی مقادیر Userinit و Shell. شناسایی DLLهای غیرعادی در Winlogon. تحلیل فرآیندهای اجرا شده توسط Winlogon.
روشهای مقابله
نظارت بر رجیستری Winlogon. محدود کردن دسترسی به تغییر Winlogon. استفاده از Application Whitelisting. بررسی منظم تنظیمات Winlogon. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
اجرای خودکار در بوت یا ورود
مهاجمان برنامهها یا دستوراتی را پیکربندی میکنند که به طور خودکار در هنگام بوت سیستم یا ورود کاربر اجرا میشوند. این تکنیک برای ایجاد پایداری استفاده میشود تا کد مخرب پس از راهاندازی مجدد سیستم نیز اجرا شود. روشهای متعددی در ویندوز، لینوکس و macOS برای این منظور وجود دارد.