T1553.004
نصب Root Certificate
Install Root Certificateتوضیحات
مهاجمان certificateهای root مخرب را در trust store سیستم نصب میکنند تا ترافیک TLS را رهگیری کنند یا نرمافزارهای امضاشده با این certificate را معتبر جلوه دهند.
روشهای شناسایی
نظارت بر نصب certificateهای جدید. بررسی trust store سیستم. شناسایی certificateهای غیرمجاز. تحلیل ترافیک TLS.
روشهای مقابله
نظارت بر trust store. محدود کردن نصب certificate. استفاده از Certificate Pinning. بررسی منظم certificateهای نصب شده. پیادهسازی Group Policy.
تکنیک اصلی
T1553Subvert Trust Controls
تضعیف کنترلهای اعتماد
مهاجمان مکانیزمهای امنیتی که به کاربران هشدار میدهند یا از اجرای برنامههای غیرمعتمد جلوگیری میکنند را تضعیف میکنند. این شامل تغییر مجوزهای فایل یا رجیستری، ایجاد یا سرقت certificate امضای کد و دستکاری trust store میشود.
سایر زیرتکنیکها (1)