T1553.002
امضای کد
Code Signingتوضیحات
مهاجمان certificateهای امضای کد را سرقت یا جعل میکنند تا بدافزار را به عنوان نرمافزار قانونی امضا کنند. با داشتن یک certificate معتبر، بدافزار میتواند از بسیاری از بررسیهای امنیتی عبور کند.
روشهای شناسایی
نظارت بر certificateهای امضای کد. بررسی اعتبار certificateها. شناسایی certificateهای revoke شده. تحلیل امضای فایلهای اجرایی.
روشهای مقابله
نظارت بر certificateهای امضای کد. استفاده از Certificate Transparency. پیادهسازی Application Whitelisting. بررسی منظم certificateها. استفاده از EDR.
تکنیک اصلی
T1553Subvert Trust Controls
تضعیف کنترلهای اعتماد
مهاجمان مکانیزمهای امنیتی که به کاربران هشدار میدهند یا از اجرای برنامههای غیرمعتمد جلوگیری میکنند را تضعیف میکنند. این شامل تغییر مجوزهای فایل یا رجیستری، ایجاد یا سرقت certificate امضای کد و دستکاری trust store میشود.
سایر زیرتکنیکها (1)