T1574.001

ربودن ترتیب جستجوی DLL

DLL Search Order Hijacking

توضیحات

مهاجمان از ترتیب جستجوی DLL ویندوز سوءاستفاده می‌کنند تا DLL‌های مخرب را به جای DLL‌های قانونی بارگذاری کنند. ویندوز DLL‌ها را در ترتیب خاصی جستجو می‌کند و مهاجمان می‌توانند DLL مخرب را در مسیری قرار دهند که قبل از مسیر اصلی جستجو می‌شود.

روش‌های شناسایی

نظارت بر بارگذاری DLL از مسیرهای غیرعادی. بررسی DLL‌های در دایرکتوری‌های برنامه. شناسایی DLL‌های بدون امضا. تحلیل رفتار فرآیندها با EDR.

روش‌های مقابله

استفاده از Safe DLL Search Mode. پیاده‌سازی Application Whitelisting. بررسی مجوزهای دایرکتوری‌های برنامه. استفاده از امضای دیجیتال DLL. محدود کردن مجوزهای نوشتن.

تکنیک اصلی

T1574Hijack Execution Flow

ربودن جریان اجرا

مهاجمان نحوه اجرای برنامه‌ها توسط سیستم‌عامل را دستکاری می‌کنند تا payload‌های مخرب را اجرا کنند. این تکنیک شامل DLL hijacking، side-loading، path interception و سایر روش‌های دستکاری جریان اجرا می‌شود. مهاجمان می‌توانند از این روش برای پایداری، ارتقاء سطح دسترسی و فرار از شناسایی استفاده کنند.

سایر زیرتکنیک‌ها (4)

T1574.002 · DLL Side-Loading T1574.006 · ربودن Dynamic Linker T1574.009 · رهگیری مسیر توسط مسیر بدون نقل‌قول T1574.011 · ضعف مجوزهای رجیستری سرویس