بدافزار
Malwareتوضیحات
مهاجمان بدافزار و اجزای آن را برای استفاده در عملیات توسعه میدهند. این شامل payload ها، dropper ها، ابزارهای پس از نفوذ، backdoor ها، packer ها و پروتکلهای C2 است. توسعه بدافزار اختصاصی به مهاجم اجازه میدهد ابزارهایی بسازد که توسط راهکارهای امنیتی شناسایی نمیشوند.
روشهای شناسایی
استفاده از راهکارهای تشخیص رفتاری به جای signature-based. پیادهسازی sandbox برای تحلیل فایلهای مشکوک. استفاده از EDR برای شناسایی رفتار غیرعادی. پایش ترافیک شبکه.
روشهای مقابله
استفاده از EDR با قابلیت تشخیص رفتاری. پیادهسازی application whitelisting. بهروزرسانی منظم امضاهای آنتیویروس. استفاده از sandbox برای تحلیل فایلهای مشکوک.
تکنیک اصلی
توسعه قابلیتها
مهاجمان قابلیتهایی را توسعه میدهند که میتوانند در طول هدفگیری از آنها استفاده کنند. این قابلیتها شامل بدافزار، اکسپلویت، گواهینامههای امضای کد و گواهینامههای دیجیتال است. توسعه قابلیتهای اختصاصی به مهاجم اجازه میدهد ابزارهایی بسازد که کمتر توسط راهکارهای امنیتی شناسایی میشوند.