تضعیف کنترلهای اعتماد
Subvert Trust Controlsتوضیحات
مهاجمان مکانیزمهای امنیتی که به کاربران هشدار میدهند یا از اجرای برنامههای غیرمعتمد جلوگیری میکنند را تضعیف میکنند. این شامل تغییر مجوزهای فایل یا رجیستری، ایجاد یا سرقت certificate امضای کد و دستکاری trust store میشود.
زیرتکنیکها (2)
مهاجمان certificateهای امضای کد را سرقت یا جعل میکنند تا بدافزار را به عنوان نرمافزار قانونی امضا کنند. با داشتن یک certificate معتبر، بدافزار میتواند از بسیاری از بررسیهای امنیتی عبور کند.
مهاجمان certificateهای root مخرب را در trust store سیستم نصب میکنند تا ترافیک TLS را رهگیری کنند یا نرمافزارهای امضاشده با این certificate را معتبر جلوه دهند.
روشهای شناسایی
نظارت بر تغییرات trust store. شناسایی certificateهای غیرمجاز. بررسی تغییرات رجیستری مرتبط با trust. تحلیل امضای دیجیتال فایلها.
روشهای مقابله
نظارت بر trust store. استفاده از Certificate Pinning. پیادهسازی Code Signing. بررسی منظم certificateها. محدود کردن نصب certificate.