گواهینامههای امضای کد
Code Signing Certificatesتوضیحات
مهاجمان گواهینامههای امضای کد را از منابع مختلف به دست میآورند، از جمله خرید از CA های قانونی با هویت جعلی، سرقت از سازمانهای قانونی یا خرید از بازارهای زیرزمینی. این گواهینامهها برای امضای بدافزار و کاهش احتمال شناسایی استفاده میشوند.
روشهای شناسایی
بررسی اعتبار گواهینامههای امضای کد. پایش گواهینامههای صادر شده از CA های ناشناخته. تحلیل رفتاری فایلهای امضا شده.
روشهای مقابله
پیادهسازی سیاستهای code signing. استفاده از application control. بررسی منظم گواهینامههای مورد استفاده. گزارش گواهینامههای مشکوک به CA.
تکنیک اصلی
به دست آوردن قابلیتها
مهاجمان قابلیتهایی را خریداری، سرقت یا دانلود میکنند که میتوانند در طول هدفگیری از آنها استفاده کنند. برخلاف توسعه قابلیتها، این تکنیک شامل به دست آوردن ابزارها و قابلیتهای موجود است. این شامل بدافزار، ابزارهای هک، اکسپلویت، گواهینامهها و اطلاعات آسیبپذیری است.