T1548.004

اجرای elevated با prompt

Elevated Execution with Prompt

توضیحات

مهاجمان از مکانیزم‌هایی که از کاربر درخواست تأیید برای اجرای elevated می‌کنند سوءاستفاده می‌کنند. در macOS، AuthorizationExecuteWithPrivileges API می‌تواند برای درخواست اجرای elevated از کاربر استفاده شود. مهاجمان می‌توانند این API را در برنامه‌های مخرب استفاده کنند.

روش‌های شناسایی

نظارت بر فراخوانی AuthorizationExecuteWithPrivileges. شناسایی برنامه‌هایی که بدون دلیل درخواست elevated می‌کنند. بررسی فرآیندهای ایجاد شده با elevated. تحلیل رفتار برنامه‌ها.

روش‌های مقابله

آموزش کاربران در مورد درخواست‌های elevated مشکوک. استفاده از macOS Gatekeeper. نظارت بر فراخوانی‌های API elevated. پیاده‌سازی Application Whitelisting. به‌روزرسانی macOS.

تکنیک اصلی

T1548Abuse Elevation Control Mechanism

سوءاستفاده از مکانیزم کنترل ارتقاء

مهاجمان از مکانیزم‌های طراحی شده برای کنترل سطوح دسترسی بالاتر سوءاستفاده می‌کنند. این مکانیزم‌ها مانند UAC در ویندوز، sudo در لینوکس و macOS برای جلوگیری از اجرای غیرمجاز کد با سطح دسترسی بالا طراحی شده‌اند. مهاجمان می‌توانند این مکانیزم‌ها را دور بزنند تا بدون اطلاع کاربر به سطح دسترسی بالاتر برسند.

سایر زیرتکنیک‌ها (5)

T1548.001 · Setuid و Setgid T1548.002 · دور زدن کنترل حساب کاربری T1548.003 · Sudo و کش Sudo T1548.005 · دسترسی موقت elevated ابری T1548.006 · دستکاری TCC