T1547.009

تغییر میانبر

Shortcut Modification

توضیحات

مهاجمان فایل‌های میانبر (.lnk) را تغییر می‌دهند تا کد مخرب را در هنگام اجرای میانبر اجرا کنند. میانبرهای موجود در Desktop، Startup و سایر مکان‌ها می‌توانند برای اجرای payload مخرب در کنار برنامه اصلی تغییر داده شوند.

روش‌های شناسایی

نظارت بر تغییرات فایل‌های .lnk. بررسی مسیر هدف میانبرها. شناسایی میانبرهای با دستورات مشکوک. تحلیل فایل‌های Startup.

روش‌های مقابله

نظارت بر تغییرات میانبرها. بررسی منظم میانبرهای Startup. محدود کردن دسترسی به تغییر میانبرها. استفاده از Application Whitelisting. پیاده‌سازی File Integrity Monitoring.

تکنیک اصلی

T1547Boot or Logon Autostart Execution

اجرای خودکار در بوت یا ورود

مهاجمان برنامه‌ها یا دستوراتی را پیکربندی می‌کنند که به طور خودکار در هنگام بوت سیستم یا ورود کاربر اجرا می‌شوند. این تکنیک برای ایجاد پایداری استفاده می‌شود تا کد مخرب پس از راه‌اندازی مجدد سیستم نیز اجرا شود. روش‌های متعددی در ویندوز، لینوکس و macOS برای این منظور وجود دارد.

سایر زیرتکنیک‌ها (4)

T1547.001 · کلیدهای Run رجیستری / پوشه Startup T1547.004 · DLL کمکی Winlogon T1547.006 · ماژول‌های هسته و افزونه‌ها T1547.015 · آیتم‌های ورود