T1620
بارگذاری کد Reflective
Reflective Code Loadingتوضیحات
مهاجمان کد مخرب را مستقیماً در حافظه بارگذاری میکنند بدون اینکه فایلی روی دیسک بنویسند. این تکنیک از APIهایی مانند Reflective DLL Injection و سایر روشهای بارگذاری در حافظه استفاده میکند تا از ابزارهای امنیتی مبتنی بر فایل فرار کند.
روشهای شناسایی
نظارت بر بارگذاری کد در حافظه. شناسایی اجرای کد از مناطق حافظه غیرمعمول. استفاده از EDR با memory scanning. بررسی رفتار فرآیندها.
روشهای مقابله
استفاده از EDR با memory scanning. فعالسازی DEP و ASLR. پیادهسازی Control Flow Guard. استفاده از Windows Defender. بهروزرسانی ویندوز.