T1622
فرار از Debugger
Debugger Evasionتوضیحات
مهاجمان از روشهایی برای شناسایی و فرار از debuggerهای استفاده شده توسط تحلیلگران امنیتی استفاده میکنند. این شامل بررسی IsDebuggerPresent، NtQueryInformationProcess، بررسی PEB و سایر تکنیکهای anti-debugging میشود.
روشهای شناسایی
تحلیل رفتار بدافزار در محیطهای مختلف. شناسایی بررسیهای anti-debugging در کد. استفاده از sandbox پیشرفته. بررسی رفتار در حضور و غیاب debugger.
روشهای مقابله
استفاده از sandbox پیشرفته. تحلیل استاتیک و دینامیک. پیادهسازی چندین لایه دفاعی. استفاده از threat intelligence. آموزش تیم تحلیل.