گواهینامههای امضای کد
Code Signing Certificatesتوضیحات
مهاجمان گواهینامههای امضای کد را برای امضای بدافزار و ابزارهای مخرب توسعه میدهند یا به دست میآورند. کد امضا شده توسط بسیاری از راهکارهای امنیتی به عنوان قانونی تلقی میشود و احتمال شناسایی را کاهش میدهد. مهاجمان ممکن است گواهینامههای خود را صادر کنند یا از CA های غیرمعتبر استفاده کنند.
روشهای شناسایی
بررسی اعتبار گواهینامههای امضای کد. پایش گواهینامههای صادر شده از CA های ناشناخته. تحلیل رفتاری فایلهای امضا شده. استفاده از Certificate Transparency logs.
روشهای مقابله
پیادهسازی سیاستهای code signing. استفاده از application control برای مجاز کردن فقط کدهای امضا شده توسط CA های معتبر. بررسی منظم گواهینامههای مورد استفاده.
تکنیک اصلی
توسعه قابلیتها
مهاجمان قابلیتهایی را توسعه میدهند که میتوانند در طول هدفگیری از آنها استفاده کنند. این قابلیتها شامل بدافزار، اکسپلویت، گواهینامههای امضای کد و گواهینامههای دیجیتال است. توسعه قابلیتهای اختصاصی به مهاجم اجازه میدهد ابزارهایی بسازد که کمتر توسط راهکارهای امنیتی شناسایی میشوند.
سایر زیرتکنیکها (3)