T1601.001
patch سیستمعامل
Patch System Imageتوضیحات
مهاجمان سیستمعامل دستگاههای شبکه را patch میکنند تا قابلیتهای مخرب اضافه کنند یا دفاعها را غیرفعال کنند. این patchها میتوانند برای ایجاد backdoor، غیرفعال کردن logging یا اضافه کردن قابلیتهای جدید استفاده شوند.
روشهای شناسایی
بررسی یکپارچگی سیستمعامل. نظارت بر تغییرات firmware. استفاده از hash verification. تحلیل رفتار غیرعادی دستگاه.
روشهای مقابله
فعالسازی Secure Boot. استفاده از Code Signing. بهروزرسانی از منابع معتبر. محدود کردن دسترسی مدیریتی. بررسی منظم یکپارچگی.
تکنیک اصلی
T1601Modify System Image
تغییر تصویر سیستم
مهاجمان سیستمعامل دستگاههای شبکه جاسازی شده را تغییر میدهند تا دفاعها را تضعیف کنند و قابلیتهای جدیدی اضافه کنند. این تکنیک روترها، سوئیچها و سایر دستگاههای شبکه را هدف قرار میدهد. مهاجمان میتوانند firmware را patch کنند یا به نسخه آسیبپذیرتر downgrade کنند.
سایر زیرتکنیکها (1)