T1564.003
پنجره پنهان
Hidden Windowتوضیحات
مهاجمان پنجرههای برنامههای مخرب را پنهان میکنند تا از دید کاربر مخفی بمانند. در PowerShell از پارامتر -WindowStyle Hidden و در VBScript از CreateObject('WScript.Shell').Run با پارامتر 0 استفاده میشود.
روشهای شناسایی
نظارت بر اجرای فرآیندها با پنجره پنهان. شناسایی PowerShell با -WindowStyle Hidden. بررسی VBScript با پارامتر window style 0. تحلیل رفتار فرآیندها.
روشهای مقابله
نظارت بر فرآیندهای با پنجره پنهان. پیادهسازی Application Whitelisting. استفاده از EDR. فعالسازی Script Block Logging. نظارت بر فرآیندها.
تکنیک اصلی
T1564Hide Artifacts
پنهان کردن آثار
مهاجمان آثار فعالیت خود را پنهان میکنند تا از شناسایی جلوگیری کنند. این تکنیک شامل پنهان کردن فایلها، فرآیندها، کاربران و سایر آثار از ابزارهای امنیتی و کاربران میشود.