دور زدن کنترل حساب کاربری
Bypass User Account Controlتوضیحات
مهاجمان User Account Control (UAC) ویندوز را دور میزنند تا بدون نمایش پنجره تأیید به سطح دسترسی بالاتر برسند. روشهای متعددی برای دور زدن UAC وجود دارد از جمله سوءاستفاده از برنامههای auto-elevated، تغییر رجیستری و استفاده از COM objectهای elevated.
روشهای شناسایی
نظارت بر فرآیندهایی که UAC را دور میزنند. شناسایی تغییرات رجیستری مرتبط با UAC bypass. بررسی فرآیندهای auto-elevated مشکوک. تحلیل رویدادهای UAC.
روشهای مقابله
تنظیم UAC در بالاترین سطح. استفاده از حسابهای غیرمدیر برای کارهای روزانه. نظارت بر رویدادهای UAC. پیادهسازی Application Whitelisting. بهروزرسانی ویندوز.
تکنیک اصلی
سوءاستفاده از مکانیزم کنترل ارتقاء
مهاجمان از مکانیزمهای طراحی شده برای کنترل سطوح دسترسی بالاتر سوءاستفاده میکنند. این مکانیزمها مانند UAC در ویندوز، sudo در لینوکس و macOS برای جلوگیری از اجرای غیرمجاز کد با سطح دسترسی بالا طراحی شدهاند. مهاجمان میتوانند این مکانیزمها را دور بزنند تا بدون اطلاع کاربر به سطح دسترسی بالاتر برسند.