ارتباط بین فرآیندی
Inter-Process Communicationتوضیحات
مهاجمان از مکانیزمهای ارتباط بین فرآیندی (IPC) برای اجرای کد یا دستورات محلی سوءاستفاده میکنند. IPC معمولاً به فرآیندها اجازه میدهد داده را به اشتراک بگذارند، ارتباط برقرار کنند یا اجرا را هماهنگ کنند، اما میتوان از آن برای اجرای کد دلخواه استفاده کرد.
زیرتکنیکها (3)
مهاجمان از Component Object Model (COM) ویندوز برای اجرای کد مخرب سوءاستفاده میکنند. COM یک جزء بومی Windows API است که به اشیاء اجازه میدهد با یکدیگر تعامل داشته باشند. مهاجمان میتوانند از COM برای اجرای DLLهای مخرب، دور زدن کنترلهای امنیتی و ایجاد وظایف زمانبندی شده استفاده کنند.
مهاجمان از Dynamic Data Exchange (DDE) برای اجرای دستورات مخرب در ویندوز استفاده میکنند. DDE یک پروتکل IPC ویندوز است که به برنامهها اجازه میدهد داده را به اشتراک بگذارند. مهاجمان میتوانند اسناد Office را با دستورات DDE مسموم کنند تا بدون نیاز به ماکرو کد اجرا کنند.
مهاجمان از سرویسهای XPC macOS برای اجرای کد مخرب سوءاستفاده میکنند. XPC سرویسهای IPC هستند که به عنوان daemon با سطح دسترسی root اجرا میشوند. مهاجمان میتوانند از اعتبارسنجی ناکافی XPC client یا sanitization ضعیف ورودی برای ارتقاء سطح دسترسی استفاده کنند.
روشهای شناسایی
نظارت بر فراخوانیهای API مرتبط با IPC. شناسایی استفاده غیرعادی از COM و DDE. بررسی لاگهای سیستم برای ارتباطات مشکوک بین فرآیندها. تحلیل رفتار فرآیندها با EDR.
روشهای مقابله
محدود کردن دسترسی به مکانیزمهای IPC. غیرفعال کردن DDE در Microsoft Office. پیادهسازی Application Whitelisting. بهروزرسانی منظم نرمافزارها. نظارت بر رجیستری COM.