T1574.006

ربودن Dynamic Linker

Dynamic Linker Hijacking

توضیحات

مهاجمان متغیرهای محیطی مانند LD_PRELOAD در لینوکس یا DYLD_INSERT_LIBRARIES در macOS را تغییر می‌دهند تا کتابخانه‌های مخرب را قبل از کتابخانه‌های قانونی بارگذاری کنند. این تکنیک به مهاجمان اجازه می‌دهد توابع سیستمی را hook کنند.

روش‌های شناسایی

نظارت بر متغیرهای محیطی LD_PRELOAD و DYLD_INSERT_LIBRARIES. بررسی فایل /etc/ld.so.preload. شناسایی کتابخانه‌های مشکوک. تحلیل رفتار فرآیندها.

روش‌های مقابله

نظارت بر متغیرهای محیطی linker. محدود کردن استفاده از LD_PRELOAD. استفاده از SELinux یا AppArmor. بررسی /etc/ld.so.preload. پیاده‌سازی حداقل سطح دسترسی.

تکنیک اصلی

T1574Hijack Execution Flow

ربودن جریان اجرا

مهاجمان نحوه اجرای برنامه‌ها توسط سیستم‌عامل را دستکاری می‌کنند تا payload‌های مخرب را اجرا کنند. این تکنیک شامل DLL hijacking، side-loading، path interception و سایر روش‌های دستکاری جریان اجرا می‌شود. مهاجمان می‌توانند از این روش برای پایداری، ارتقاء سطح دسترسی و فرار از شناسایی استفاده کنند.

سایر زیرتکنیک‌ها (4)

T1574.001 · ربودن ترتیب جستجوی DLL T1574.002 · DLL Side-Loading T1574.009 · رهگیری مسیر توسط مسیر بدون نقل‌قول T1574.011 · ضعف مجوزهای رجیستری سرویس