T1574.002

DLL Side-Loading

توضیحات

مهاجمان از برنامه‌های قانونی که DLL‌ها را از مسیرهای نسبی بارگذاری می‌کنند سوءاستفاده می‌کنند. با قرار دادن DLL مخرب در کنار برنامه قانونی، مهاجمان می‌توانند کد مخرب را در زمینه یک فرآیند قانونی اجرا کنند.

روش‌های شناسایی

نظارت بر بارگذاری DLL از مسیرهای غیرمعمول. بررسی DLL‌های در کنار برنامه‌های قانونی. شناسایی DLL‌های بدون امضا. تحلیل رفتار فرآیندها.

روش‌های مقابله

استفاده از امضای دیجیتال DLL. پیاده‌سازی Application Whitelisting. بررسی DLL‌های در مسیرهای برنامه. محدود کردن مجوزهای نوشتن. به‌روزرسانی برنامه‌های آسیب‌پذیر.

تکنیک اصلی

T1574Hijack Execution Flow

ربودن جریان اجرا

مهاجمان نحوه اجرای برنامه‌ها توسط سیستم‌عامل را دستکاری می‌کنند تا payload‌های مخرب را اجرا کنند. این تکنیک شامل DLL hijacking، side-loading، path interception و سایر روش‌های دستکاری جریان اجرا می‌شود. مهاجمان می‌توانند از این روش برای پایداری، ارتقاء سطح دسترسی و فرار از شناسایی استفاده کنند.

سایر زیرتکنیک‌ها (4)

T1574.001 · ربودن ترتیب جستجوی DLL T1574.006 · ربودن Dynamic Linker T1574.009 · رهگیری مسیر توسط مسیر بدون نقل‌قول T1574.011 · ضعف مجوزهای رجیستری سرویس