T1554
به خطر انداختن باینری نرمافزار میزبان
Compromise Host Software Binaryتوضیحات
مهاجمان باینریهای نرمافزار میزبان را تغییر میدهند تا پایداری ایجاد کنند. این تکنیک شامل تغییر فایلهای اجرایی قانونی برای اجرای کد مخرب در کنار عملکرد اصلی برنامه میشود. مهاجمان میتوانند از این روش برای پنهان کردن حضور خود در سیستم استفاده کنند.
روشهای شناسایی
بررسی یکپارچگی فایلهای سیستمی. نظارت بر تغییرات در باینریهای نرمافزار. استفاده از File Integrity Monitoring. تحلیل hash فایلهای اجرایی.
روشهای مقابله
پیادهسازی File Integrity Monitoring. استفاده از امضای دیجیتال. بررسی منظم یکپارچگی فایلها. محدود کردن دسترسی به تغییر فایلهای سیستمی. استفاده از Secure Boot.