تبادل داده پویا
Dynamic Data Exchangeتوضیحات
مهاجمان از Dynamic Data Exchange (DDE) برای اجرای دستورات مخرب در ویندوز استفاده میکنند. DDE یک پروتکل IPC ویندوز است که به برنامهها اجازه میدهد داده را به اشتراک بگذارند. مهاجمان میتوانند اسناد Office را با دستورات DDE مسموم کنند تا بدون نیاز به ماکرو کد اجرا کنند.
روشهای شناسایی
شناسایی فایلهای Office با دستورات DDE مشکوک. نظارت بر فرآیندهای ایجاد شده از طریق DDE. بررسی ارتباطات DDE بین برنامهها. تحلیل محتوای اسناد Office.
روشهای مقابله
غیرفعال کردن DDE در Microsoft Office. پیادهسازی Attack Surface Reduction Rules. آموزش کاربران در مورد اسناد مخرب. استفاده از Protected View. بهروزرسانی Microsoft Office.
تکنیک اصلی
ارتباط بین فرآیندی
مهاجمان از مکانیزمهای ارتباط بین فرآیندی (IPC) برای اجرای کد یا دستورات محلی سوءاستفاده میکنند. IPC معمولاً به فرآیندها اجازه میدهد داده را به اشتراک بگذارند، ارتباط برقرار کنند یا اجرا را هماهنگ کنند، اما میتوان از آن برای اجرای کد دلخواه استفاده کرد.
سایر زیرتکنیکها (2)