رهگیری مسیر توسط مسیر بدون نقلقول
Path Interception by Unquoted Pathتوضیحات
مهاجمان از مسیرهای سرویس ویندوز که بدون نقلقول هستند و شامل فاصله میشوند سوءاستفاده میکنند. ویندوز هر بخش از مسیر را به عنوان یک فایل اجرایی احتمالی امتحان میکند. مهاجمان میتوانند فایل اجرایی مخرب را در مسیر مناسب قرار دهند.
روشهای شناسایی
بررسی سرویسهای با مسیرهای بدون نقلقول. نظارت بر فایلهای اجرایی در مسیرهای مشکوک. شناسایی سرویسهای آسیبپذیر. تحلیل پیکربندی سرویسها.
روشهای مقابله
اصلاح مسیرهای سرویس با نقلقول. بررسی منظم پیکربندی سرویسها. محدود کردن مجوزهای نوشتن. استفاده از Application Whitelisting. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
ربودن جریان اجرا
مهاجمان نحوه اجرای برنامهها توسط سیستمعامل را دستکاری میکنند تا payloadهای مخرب را اجرا کنند. این تکنیک شامل DLL hijacking، side-loading، path interception و سایر روشهای دستکاری جریان اجرا میشود. مهاجمان میتوانند از این روش برای پایداری، ارتقاء سطح دسترسی و فرار از شناسایی استفاده کنند.