T1547.006

ماژول‌های هسته و افزونه‌ها

Kernel Modules and Extensions

توضیحات

مهاجمان ماژول‌های هسته مخرب (rootkit) را در سیستم‌های لینوکس و macOS بارگذاری می‌کنند تا پایداری ایجاد کنند و فعالیت‌های خود را پنهان کنند. ماژول‌های هسته با سطح دسترسی بالاترین اجرا می‌شوند و می‌توانند سیستم‌عامل را تغییر دهند.

روش‌های شناسایی

نظارت بر بارگذاری ماژول‌های هسته. بررسی ماژول‌های بارگذاری شده با lsmod. شناسایی ماژول‌های بدون امضا. تحلیل رفتار سیستم برای نشانه‌های rootkit.

روش‌های مقابله

فعال‌سازی Secure Boot. استفاده از Kernel Module Signing. پیاده‌سازی IMA/EVM. محدود کردن بارگذاری ماژول. استفاده از ابزارهای تشخیص rootkit.

تکنیک اصلی

T1547Boot or Logon Autostart Execution

اجرای خودکار در بوت یا ورود

مهاجمان برنامه‌ها یا دستوراتی را پیکربندی می‌کنند که به طور خودکار در هنگام بوت سیستم یا ورود کاربر اجرا می‌شوند. این تکنیک برای ایجاد پایداری استفاده می‌شود تا کد مخرب پس از راه‌اندازی مجدد سیستم نیز اجرا شود. روش‌های متعددی در ویندوز، لینوکس و macOS برای این منظور وجود دارد.

سایر زیرتکنیک‌ها (4)

T1547.001 · کلیدهای Run رجیستری / پوشه Startup T1547.004 · DLL کمکی Winlogon T1547.009 · تغییر میانبر T1547.015 · آیتم‌های ورود