ضعف مجوزهای رجیستری سرویس
Services Registry Permissions Weaknessتوضیحات
مهاجمان از مجوزهای ضعیف رجیستری سرویسهای ویندوز سوءاستفاده میکنند تا مسیر باینری سرویس را با یک فایل اجرایی مخرب جایگزین کنند. با تغییر ImagePath در رجیستری سرویس، مهاجمان میتوانند کد مخرب را با سطح دسترسی SYSTEM اجرا کنند.
روشهای شناسایی
بررسی مجوزهای رجیستری سرویسها. نظارت بر تغییرات ImagePath سرویسها. شناسایی سرویسهای با مجوزهای ضعیف. تحلیل رجیستری سرویسها.
روشهای مقابله
اصلاح مجوزهای رجیستری سرویسها. نظارت بر تغییرات رجیستری سرویس. استفاده از حداقل سطح دسترسی. بررسی منظم مجوزهای سرویس. پیادهسازی Application Whitelisting.
تکنیک اصلی
ربودن جریان اجرا
مهاجمان نحوه اجرای برنامهها توسط سیستمعامل را دستکاری میکنند تا payloadهای مخرب را اجرا کنند. این تکنیک شامل DLL hijacking، side-loading، path interception و سایر روشهای دستکاری جریان اجرا میشود. مهاجمان میتوانند از این روش برای پایداری، ارتقاء سطح دسترسی و فرار از شناسایی استفاده کنند.