مدل شیء کامپوننت
Component Object Modelتوضیحات
مهاجمان از Component Object Model (COM) ویندوز برای اجرای کد مخرب سوءاستفاده میکنند. COM یک جزء بومی Windows API است که به اشیاء اجازه میدهد با یکدیگر تعامل داشته باشند. مهاجمان میتوانند از COM برای اجرای DLLهای مخرب، دور زدن کنترلهای امنیتی و ایجاد وظایف زمانبندی شده استفاده کنند.
روشهای شناسایی
نظارت بر ایجاد و استفاده از اشیاء COM مشکوک. بررسی رجیستری برای ثبتهای COM غیرعادی. شناسایی فراخوانیهای API مرتبط با COM. تحلیل رفتار فرآیندهایی که از COM استفاده میکنند.
روشهای مقابله
نظارت بر رجیستری COM. محدود کردن دسترسی به اشیاء COM حساس. پیادهسازی Application Whitelisting. بهروزرسانی منظم ویندوز. استفاده از EDR.
تکنیک اصلی
ارتباط بین فرآیندی
مهاجمان از مکانیزمهای ارتباط بین فرآیندی (IPC) برای اجرای کد یا دستورات محلی سوءاستفاده میکنند. IPC معمولاً به فرآیندها اجازه میدهد داده را به اشتراک بگذارند، ارتباط برقرار کنند یا اجرا را هماهنگ کنند، اما میتوان از آن برای اجرای کد دلخواه استفاده کرد.
سایر زیرتکنیکها (2)