बाइंडिंग (दृढ़ता)

सभी भागों के लिंक:
भाग 1. प्रारंभिक पहुँच प्राप्त करना (प्रारंभिक पहुँच)
भाग 2. निष्पादन
भाग 3. बन्धन (दृढ़ता)
भाग 4. विशेषाधिकार वृद्धि
भाग 5. रक्षा चोरी
भाग 6. साख प्राप्त करना (क्रेडेंशियल एक्सेस)
भाग 7. खोज
भाग 8. पार्श्व आंदोलन

पहुंच को सुरक्षित करने का मुख्य कार्य आक्रमण प्रणाली में निरंतर उपस्थिति सुनिश्चित करना है, क्योंकि किसी हमले का पता लगाने के कारण हमला प्रणाली के पुनः आरंभ, क्रेडेंशियल की हानि या रिमोट एक्सेस टूल को अवरुद्ध करने के कारण पहुंच खो सकता है।

लेखक लेख में निर्धारित जानकारी को लागू करने के संभावित परिणामों के लिए जिम्मेदार नहीं है, और कुछ योगों और शर्तों में किए गए संभावित अशुद्धि के लिए भी माफी माँगता है। प्रकाशित जानकारी MITER ATT & CK की सामग्री का मुफ़्त रीटेलिंग है।

प्रणाली में निरंतरता सुनिश्चित करने के तरीकों को 3 श्रेणियों में विभाजित किया जा सकता है:

खातों का अनधिकृत निर्माण या मौजूदा क्रेडेंशियल्स की चोरी;
रिमोट एक्सेस टूल की छिपी स्थापना और लॉन्च;
हमला किए गए सिस्टम के कॉन्फ़िगरेशन में परिवर्तन करना जिसकी मदद से कई दुर्भावनापूर्ण कोड चलाना संभव हो जाता है। दुर्भावनापूर्ण कोड को हर बार सिस्टम बूट या सिस्टम पर हर उपयोगकर्ता लॉग ऑन करने, संशोधित या दुर्भावनापूर्ण सेवाओं को लॉन्च करने, उपयोगकर्ता द्वारा कुछ प्रोग्राम लॉन्च करने या सिस्टम या तृतीय-पक्ष सॉफ़्टवेयर को अपडेट करने की प्रक्रिया शुरू करने पर स्वचालित रूप से लॉन्च किया जा सकता है।

इसके अलावा, एटीटी और सीके द्वारा दी गई एक्सेस लॉकिंग तकनीक प्रस्तुत की जाती है।

~ / .Bash_profile और ~ / .bashrc फ़ाइलों का संशोधन

सिस्टम: लिनक्स, macOS
अधिकार: उपयोगकर्ता, प्रशासक
विवरण: हमलावर कोड को ~ / .bash_profile और ~ / .bashrc फ़ाइलों ( OS में एक उपयोगकर्ता वातावरण बनाने के लिए डिज़ाइन किया गया) में एम्बेड कर सकते हैं, जिसे तब निष्पादित किया जाएगा जब उपयोगकर्ता लॉग इन करता है या एक नया शेल शुरू करता है। ~ / .Bash_profile फ़ाइल तब निष्पादित की जाती है जब उपयोगकर्ता लॉग इन करता है, ~ / .bashrc तब निष्पादित होता है जब गोले को अंतःक्रियात्मक रूप से खोला जाता है। जब कोई उपयोगकर्ता नाम और पासवर्ड के साथ (स्थानीय या दूरस्थ रूप से, SSH के माध्यम से) लॉग इन करता है, तो उपयोगकर्ता आमंत्रण वापस आने से पहले ~ / .bash_profile निष्पादित किया जाता है। उसके बाद, हर बार एक नया शेल खुलता है, ~ / .bashrc निष्पादित होता है।
MacOS पर, Terminal.app थोड़ा अलग है कि यह हर बार टर्मिनल विंडो खोलने पर डिफ़ॉल्ट लॉगिन शेल लॉन्च करता है, जिससे हर बार ~ / .bash_profile हो जाता है।

सुरक्षा सिफारिशें: केवल अधिकृत प्रशासकों के लिए ~ / .bash_profile और ~ / .bashrc फ़ाइलों को संशोधित करने के लिए अधिकार प्रदान करना।

अनुप्रयोगों की निष्पादन योग्य फ़ाइलों का संशोधन "विंडोज़ की पहुँच सुविधाएँ" (पहुँच सुविधाएँ)

सिस्टम: विंडोज
अधिकार: प्रशासक
विवरण: एक्सेसिबिलिटी एप्लिकेशन (स्क्रीन आवर्धक, ऑन-स्क्रीन कीबोर्ड, आदि) सिस्टम पर उपयोगकर्ता के लॉग से पहले मुख्य संयोजनों का उपयोग करके लॉन्च किया जा सकता है। एक हमलावर इन कार्यक्रमों की स्टार्टअप फ़ाइलों को बदल सकता है या वे लॉन्च होने के तरीके को बदल सकते हैं और कमांड कंसोल खोल सकते हैं या लॉग इन किए बिना एक बैकडोर प्राप्त कर सकते हैं।

C: \ Windows \ System32 \ sethc.exe - Shift कुंजी दबाकर 5-गुना द्वारा लॉन्च किया गया;
C: \ Windows \ System32 \ useman.exe - Win + U के संयोजन को दबाकर लॉन्च किया गया।

WinXP और बाद के संस्करणों में, sethc.exe और useman.exe को प्रतिस्थापित किया जा सकता है, उदाहरण के लिए, cmd.exe के साथ, फिर जब आप वांछित कुंजी संयोजन दबाते हैं, तो cmd.exe सिस्टम विशेषाधिकारों के साथ विंडोज में प्रवेश करने से पहले शुरू होता है।
विस्टा और बाद के संस्करणों में, आपको रजिस्ट्री कुंजी को बदलने की आवश्यकता है जो cmd.exe या किसी अन्य प्रोग्राम को डिबगर के रूप में कॉन्फ़िगर करती है, उदाहरण के लिए, ultiman.exe। रजिस्ट्री को संपादित करने और लॉगिन स्क्रीन पर वांछित कुंजी संयोजन को दबाने या आरडीपी के माध्यम से होस्ट से कनेक्ट करते समय, सिस्टम अधिकारों के साथ cmd.exe निष्पादित किया जाएगा।
विंडोज प्रोग्राम भी हैं जिनका उपयोग इस हमले की तकनीक को लागू करने के लिए किया जा सकता है:

C: \ Windows \ System32 \ osk.exe;
C: \ Windows \ System32 \ Magnify.exe;
C: \ Windows \ System32 \ Narrator.exe;
C: \ Windows \ System32 \ DisplaySwitch.exe;
C: \ Windows \ System32 \ AtBroker.exe।

सुरक्षा सिफारिशें: आरडीपी सत्र बनाने और लॉगिन स्क्रीन ( विंडोज विस्टा में डिफ़ॉल्ट रूप से सक्षम और बाद में ) को प्रदर्शित करने से पहले दूरस्थ उपयोगकर्ताओं के लिए अनिवार्य नेटवर्क प्रमाणीकरण शुरू करें। कनेक्शन प्रबंधित करने और RDP सुरक्षा को कॉन्फ़िगर करने के लिए दूरस्थ डेस्कटॉप गेटवे का उपयोग करें।

AppCert DLL कुंजी को संशोधित करना

सिस्टम: विंडोज
अधिकार: प्रशासक, प्रणाली
विवरण: AppCertDLLs कुंजी मूल्य में निर्दिष्ट DLL को प्रत्येक प्रक्रिया में अक्सर उपयोग किए जाने वाले API फ़ंक्शन को कॉल किया जाता है: CreateProcess, CreateProcessAsUser, CreateProcessWithLoginW, CreateProcessWithWokenW, WinExec । AppCertDLLs कुंजी मान को दुर्भावनापूर्ण DLL को लोड करने और कुछ प्रक्रियाओं को चलाने के कारण दुर्व्यवहार किया जा सकता है। AppCertDLLs को निम्न रजिस्ट्री कुंजी में संग्रहीत किया जाता है:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session प्रबंधक ।

सुरक्षा सिफारिशें: संभावित खतरनाक सॉफ़्टवेयर को अवरुद्ध करने और अज्ञात DLL को डाउनलोड करने के सभी संभावित साधनों का उपयोग करें, जैसे AppLocker और DeviceGuard।

AppInit DLLs कुंजी का संशोधन

सिस्टम: विंडोज
अधिकार: प्रशासक, प्रणाली
विवरण: AppInit_DLLs कुंजी मान में निर्दिष्ट DLL को प्रत्येक प्रक्रिया में लोड किया जाता है जो user32.dll लोड करता है। व्यवहार में, यह लगभग हर कार्यक्रम है।
AppInit_DLLs को निम्न रजिस्ट्री कुंजियों में संग्रहीत किया जाता है:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows;
HKEY_LOCAL_MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \ Windows।

AppInit_DLLs कुंजी मूल्य दुर्भावनापूर्ण DLL लोड करके और कुछ प्रक्रियाओं को शुरू करके विशेषाधिकारों से अधिक का दुरुपयोग किया जा सकता है। AppInit_DLLs कार्यक्षमता विंडोज 8 में और बाद में जब सिक्योर बूट सक्रिय होता है, तो अक्षम होता है।

सुरक्षा सिफारिशें: विंडोज 8 की तुलना में पहले कोई ओएस संस्करण का उपयोग करने और सुरक्षित बूट को सक्षम करने पर विचार करें। संभावित खतरनाक सॉफ़्टवेयर को ब्लॉक करने और AppLocker और DeviceGuard जैसे अज्ञात DLL को डाउनलोड करने के लिए सभी प्रकार के साधनों का उपयोग करें।

अनुप्रयोग संगतता सबसिस्टम का दुरुपयोग (एप्लीकेशन शाइनिंग)

सिस्टम: विंडोज
अधिकार: प्रशासक
विवरण: Microsoft Windows अनुप्रयोग संगतता इन्फ्रास्ट्रक्चर / फ्रेमवर्क Windows अद्यतन और OS कोड परिवर्तनों के साथ कार्यक्रमों की संगतता सुनिश्चित करने के लिए बनाया गया था । संगतता प्रणाली तथाकथित शिम ("गैस्केट्स") का उपयोग करती है - पुस्तकालय जो प्रोग्राम और ओएस के बीच एक बफर के रूप में कार्य करते हैं। शिम कैश का उपयोग करते हुए, सिस्टम शिम गैसकेट्स (एक .sdb डेटाबेस के रूप में संग्रहीत) की आवश्यकता को निर्धारित करता है। विभिन्न .sdb फाइलें एप्लिकेशन कोड को इंटरसेप्ट करने, इसे प्रोसेस करने और फिर इसे OS पर रीडायरेक्ट करने के लिए विभिन्न प्रक्रियाओं को स्टोर करती हैं। इंस्टॉलर द्वारा स्थापित सभी shim-gaskets की सूची (sdbinst.exe) डिफ़ॉल्ट रूप से संग्रहीत की जाती है:

% WINDIR% \ AppPatch \ sysmain.sdb ;
HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ InstalledSDB ।

कस्टम शिम डेटाबेस में संग्रहीत हैं:

% WINDIR% \ AppPatch [64] \ Custom;
HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Custom ।

उपयोगकर्ता मोड में सुरक्षा सुनिश्चित करने के लिए, शिम-गस्कट का उपयोग करके ओएस कर्नेल को बदलने की क्षमता को बाहर रखा गया है, और उन्हें स्थापित करने के लिए व्यवस्थापक अधिकारों की आवश्यकता है। हालाँकि, कुछ शिम पैड्स का उपयोग उपयोगकर्ता खाता नियंत्रण (UAC), DLL इंजेक्शन, डेटा निष्पादन की रोकथाम अक्षमता और Srtucture अपवाद हैंडलिंग , साथ ही अवरोधन मेमोरी पतों को निष्क्रिय करने के लिए किया जा सकता है। शिम-गस्केट्स का उपयोग करने वाला हमलावर विशेषाधिकार बढ़ा सकता है, बैकडोर स्थापित कर सकता है, ओएस सुरक्षा को निष्क्रिय कर सकता है, जैसे विंडोज डिफेंडर।

सुरक्षा सिफारिशें: अनुप्रयोग को रोकने के लिए कई तरीके नहीं हैं। ओएस की स्थिरता के साथ समस्याओं से बचने के लिए एप्लिकेशन संगतता को अक्षम करने की अनुशंसा नहीं की जाती है। Microsoft ने KB3045645 जारी किया है, जो UAC को बायपास करने के लिए शिम सिस्टम के उपयोग को रोकने के लिए sdbinst.exe फ़ाइल में "ऑटो- एलिवेट " ध्वज को हटा देगा।

विंडोज ऑथेंटिकेशन पैकेज कंपोनेंट्स को संशोधित करना

सिस्टम: विंडोज
अधिकार: प्रशासक
विवरण: Windows प्रमाणन पैक DLL सिस्टम स्टार्टअप पर स्थानीय सुरक्षा प्राधिकरण (LSA) प्रक्रिया द्वारा लोड किए गए हैं और कई लॉगिन प्रक्रियाओं और कई OS सुरक्षा प्रोटोकॉल के लिए समर्थन प्रदान करते हैं। हमलावर निम्न रजिस्ट्री कुंजी में एक बाइनरी फ़ाइल के लिए लिंक रखकर LSA ऑटोरुन तंत्र का उपयोग कर सकते हैं:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ Authentication पैकेज: [लक्ष्य बाइनरी] ।
[लक्ष्य बाइनरी] सिस्टम द्वारा लॉन्च किया जाएगा जब प्रमाणीकरण पैक डाउनलोड किए जाएंगे।

सुरक्षा अनुशंसाएँ: Windows 8.1, Windows Server 2012 R2 और बाद में LSAs में, आप रजिस्ट्री कुंजी का उपयोग करके इसे एक संरक्षित प्रक्रिया (PPL) के रूप में काम कर सकते हैं:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL = DWORD: 00000001 ,
जिसमें Microsoft डिजिटल प्रमाणपत्र के साथ एलएसए द्वारा लोड किए गए सभी DLL की आवश्यकता होती है।

BITS जॉब्स बनाना (BITS Jobs)

सिस्टम: विंडोज
अधिकार: उपयोगकर्ता, प्रशासक, प्रणाली
विवरण: विंडोज बैकग्राउंड इंटेलिजेंट ट्रांसफर सर्विस (BITS) कम बैंडविड्थ का उपयोग करके घटक ऑब्जेक्ट मॉडल (COM) के माध्यम से अतुल्यकालिक रूप से फ़ाइलों को स्थानांतरित करने के लिए एक तंत्र है। बिट्स आमतौर पर updaters, तत्काल दूत और अन्य अनुप्रयोगों द्वारा उपयोग किया जाता है जो अन्य नेटवर्क अनुप्रयोगों के संचालन को बाधित किए बिना पृष्ठभूमि में काम करना पसंद करते हैं। फ़ाइल स्थानांतरण कार्यों को BITS कार्यों के रूप में दर्शाया जाता है, जिसमें एक या एक से अधिक फ़ाइल कार्रवाई की कतार होती है। BITS कार्यों को बनाने और प्रबंधित करने का इंटरफ़ेस PowerShell और BITSAdmin टूल में उपलब्ध है। हमलावर दुर्भावनापूर्ण कोड को निष्पादित करने के बाद डाउनलोड करने, लॉन्च करने और फिर साफ करने के लिए BITS का उपयोग कर सकते हैं। बिट्स कार्यों को स्वायत्त रूप से बिट्स डेटाबेस में संग्रहीत किया जाता है, जबकि सिस्टम नई फ़ाइलों या रजिस्ट्री प्रविष्टियों को नहीं बनाता है, अक्सर बिट्स को फ़ायरवॉल द्वारा अनुमति दी जाती है। BITS कार्यों का उपयोग करके, आप BITS कार्य या त्रुटि (OS को रीबूट करने के बाद सहित) के पूरा होने के बाद लंबे कार्य (डिफ़ॉल्ट रूप से 90 दिन) बनाकर या एक मनमाना कार्यक्रम कॉल करके सिस्टम में एक पायदान हासिल कर सकते हैं।

सुरक्षा सिफारिशें: बिट्स एक मानक ओएस कार्यक्षमता है, जिसके उपयोग को दुर्भावनापूर्ण गतिविधि से अलग करना मुश्किल है, इसलिए सुरक्षा वेक्टर को हमले श्रृंखला की शुरुआत में दुर्भावनापूर्ण टूल के प्रक्षेपण को रोकने के लिए निर्देशित किया जाना चाहिए। BITS को पूरी तरह से अक्षम करने से वैध सॉफ़्टवेयर अपडेट बंद हो सकते हैं, हालाँकि, आप विशिष्ट उपयोगकर्ताओं और पहुँच समूहों के लिए BITS इंटरफ़ेस तक पहुँच को प्रतिबंधित करने पर विचार कर सकते हैं, और आप BITS कार्यों के जीवनकाल को सीमित कर सकते हैं, जो निम्न कुंजियों को बदलकर निर्धारित किया गया है:

HKEY_LOCAL_MACHINE \ Software \ नीतियाँ \ Microsoft \ Windows \ BITS \ JobInactivityTimeout;
HKEY_LOCAL_MACHINE \ Software \ नीतियाँ \ Microsoft \ Windows \ BITS \ MaxDownloadTime ।

Bootkits (bootkit)

सिस्टम: लिनक्स, विंडोज
अधिकार: प्रशासक, प्रणाली
विवरण: बूटकिट एक प्रकार का मैलवेयर है जो हार्ड ड्राइव के बूट सेक्टर को बदल सकता है, जिसमें मास्टर बूट रिकॉर्ड (एमबीआर) और वॉल्यूम बूट रिकॉर्ड (वीबीआर) शामिल हैं। ओएस के नीचे सिस्टम पर डॉक करने के लिए हमलावर बूटकिट का उपयोग कर सकते हैं। एमबीआर - रेलवे का खंड, जो बायोस के हार्डवेयर इनिशियलाइजेशन के पूरा होने के तुरंत बाद लोड किया जाता है। एमबीआर को फिर से लिखने के लिए उपयोग करने वाला हमलावर बूटलोडर कोड को एक दुर्भावनापूर्ण के साथ बदल सकता है। वीबीआर हार्ड डिस्क विभाजन है जो एमबीआर से बूट प्रक्रिया का नियंत्रण प्राप्त करता है। MBR को फिर से लिखने के विकल्प के अनुरूप, एक हमलावर सिस्टम बूट स्टेज पर दुर्भावनापूर्ण कोड चला सकता है।

सुरक्षा सिफारिशें: एमबीआर और वीबीआर अखंडता नियंत्रण उपकरण का उपयोग करना। विश्वसनीय प्लेटफॉर्म मॉड्यूल (टीपीएम) और सुरक्षित बूट का उपयोग करना।

ब्राउज़र एक्सटेंशन

सिस्टम: विंडोज, लिनक्स, मैकओएस
अधिकार: उपयोगकर्ता
विवरण: एक नियम के रूप में, प्लगइन्स में सभी पहुंच और अधिकार हैं जो एक ब्राउज़र प्राप्त कर सकता है। दुर्भावनापूर्ण प्लग इन को दुर्भावनापूर्ण अनुप्रयोगों को डाउनलोड करके इंस्टॉल किया जा सकता है, जो सोशल इंजीनियरिंग तकनीकों, फ़िशिंग, या एक हमलावर का उपयोग करके वैध कार्यक्रमों के रूप में प्रच्छन्न हैं, जिन्होंने पहले ही सिस्टम से समझौता कर लिया है। दुर्भावनापूर्ण प्लगइन्स पृष्ठभूमि में वेबसाइट खोल सकते हैं, जानकारी चोरी कर सकते हैं जो एक उपयोगकर्ता ब्राउज़र में प्रवेश करता है, जिसमें क्रेडेंशियल्स भी शामिल हैं, दूरस्थ प्रशासन टूल (आरएटी) के इंस्टॉलर के रूप में उपयोग किया जाता है और सिस्टम को ठीक करता है।

सुरक्षा सिफारिशें: विश्वसनीय स्रोतों से ही प्लगइन्स इंस्टॉल करें। समूह नीति का उपयोग करके स्थापित प्लगइन्स को नियंत्रित करें। सामान्य उपयोगकर्ताओं द्वारा प्लगइन्स की स्थापना को रोकें। स्थापित प्लगइन्स की सूची और निगरानी।

फ़ाइल संघों के मापदंडों को संशोधित करना (डिफ़ॉल्ट फ़ाइल एसोसिएशन बदलें)

सिस्टम: विंडोज
अधिकार: उपयोगकर्ता, व्यवस्थापक, प्रणाली
विवरण: हमलावर मनमानी आदेशों को चलाने के लिए फ़ाइल संघों को संशोधित कर सकते हैं। अनुप्रयोगों के साथ फ़ाइल संघों की पसंद विंडोज रजिस्ट्री में संग्रहीत की जाती है और उपयोगकर्ताओं, प्रशासकों और रजिस्ट्री तक पहुंच वाले कार्यक्रमों द्वारा संपादित की जा सकती है। आवेदन मनमाने ढंग से कार्यक्रमों को लागू करने के लिए संघों को संशोधित कर सकते हैं। सिस्टम संघों के मापदंडों को रजिस्ट्री में संग्रहीत किया जाता है: HKEY_CLASSES_ROOT \। [एक्सटेंशन] , उदाहरण के लिए, HKEY_CLASSES_ROOT \ .txt । विभिन्न आदेशों को उपखंडों के रूप में सूचीबद्ध किया गया है: HKEY_CLASSES_ROOT \ [हैंडलर] \ शेल \ [क्रिया] \ [कमांड] , उदाहरण के लिए:

HKEY_CLASSES_ROOT \ txtfile \ shell \ open \ [कमांड];
HKEY_CLASSES_ROOT \ txtfile \ shell \ print \ [कमांड];
HKEY_CLASSES_ROOT \ txtfile \ shell \ printto \ [कमांड];

जहां [कमांड] वह कमांड है जिसे फ़ाइल को निर्दिष्ट एक्सटेंशन के साथ खोलने पर निष्पादित किया जाएगा।

सुरक्षा सर्वोत्तम व्यवहार : फ़ाइल संघों के लिए Microsoft की सिफारिशों का पालन करें। संभावित खतरनाक सॉफ़्टवेयर, जैसे AppLocker और DeviceGuard को अवरुद्ध करने के सभी संभावित साधनों का उपयोग करें।

घटक फर्मवेयर

सिस्टम: विंडोज
अधिकार: प्रणाली
विवरण: कुछ साइबर अपराधी कंप्यूटर घटकों से समझौता करने और उन पर दुर्भावनापूर्ण फर्मवेयर स्थापित करने के लिए परिष्कृत टूल का उपयोग कर सकते हैं जो ऑपरेटिंग सिस्टम या यहां तक कि मुख्य सिस्टम फर्मवेयर (बायोस) के बाहर दुर्भावनापूर्ण कोड चलाएंगे। तकनीक में चमकती कंप्यूटर घटक होते हैं जिनमें अंतर्निहित अखंडता जांच प्रणाली नहीं होती है, उदाहरण के लिए, हार्ड ड्राइव। दुर्भावनापूर्ण फर्मवेयर के साथ एक उपकरण विफलताओं और हार्ड डिस्क के ओवरराइटिंग के बावजूद हमला किए गए सिस्टम तक निरंतर पहुंच प्रदान कर सकता है। तकनीक को सॉफ्टवेयर सुरक्षा और अखंडता नियंत्रण को दूर करने के लिए डिज़ाइन किया गया है।

इंटरसेप्टिंग लिंक्स और लिंक्स घटक ऑब्जेक्ट मॉडल अपहरण

सिस्टम: विंडोज
अधिकार: उपयोगकर्ता
विवरण: Microsoft घटक ऑब्जेक्ट मॉडल (COM) किसी ऑब्जेक्ट के इंटरैक्शन घटकों के आधार पर सॉफ़्टवेयर बनाने की एक तकनीक है, जिनमें से प्रत्येक का उपयोग एक साथ कई कार्यक्रमों में किया जा सकता है। हमलावर COM लिंक और लिंक को कैप्चर करके वैध कोड के बजाय निष्पादित किए जा सकने वाले दुर्भावनापूर्ण कोड को इंजेक्ट करने के लिए COM का उपयोग कर सकते हैं। COM ऑब्जेक्ट को इंटरसेप्ट करने के लिए, आपको विंडोज रजिस्ट्री में एक वैध सिस्टम घटक के लिंक को बदलने की आवश्यकता है। इस घटक के लिए एक और कॉल दुर्भावनापूर्ण कोड निष्पादित करेगा।

सुरक्षा सिफारिशें: इस हमले को रोकने के लिए निवारक उपायों की सिफारिश नहीं की जाती है, क्योंकि COM ऑब्जेक्ट ओएस का हिस्सा हैं और सिस्टम सॉफ़्टवेयर में स्थापित हैं। COM ऑब्जेक्ट में परिवर्तन ब्लॉक करना OS और सॉफ़्टवेयर की स्थिरता को प्रभावित कर सकता है। दुर्भावनापूर्ण और संभावित खतरनाक सॉफ़्टवेयर को ब्लॉक करने के लिए सुरक्षा वेक्टर की सिफारिश की जाती है।

खाते बनाएँ

सिस्टम: विंडोज, लिनक्स, मैकओएस
अधिकार: प्रशासक
विवरण: पर्याप्त पहुँच वाले हमलावर सिस्टम में आगे समेकन के लिए स्थानीय या डोमेन खाते बना सकते हैं। नेटवर्क यूजर कमांड का इस्तेमाल अकाउंट बनाने के लिए भी किया जा सकता है।

सुरक्षा सिफारिशें: बहु-कारक प्रमाणीकरण का उपयोग। महत्वपूर्ण सर्वरों पर सुरक्षा सेटिंग्स कॉन्फ़िगर करें, एक्सेस कंट्रोल, फायरवॉल कॉन्फ़िगर करें। एक डोमेन व्यवस्थापक खाते के उपयोग को प्रतिदिन के संचालन के लिए निषिद्ध करना, जिसके दौरान एक हमलावर खाता जानकारी प्राप्त कर सकता है। सिस्टम में खाते बनाने वाले हमलावर नेटवर्क तक केवल सीमित पहुंच प्राप्त कर सकते हैं यदि पहुंच स्तर ठीक से अवरुद्ध हो। खातों को केवल एक अलग सिस्टम तक पहुँच सुरक्षित करने की आवश्यकता हो सकती है।

DLL खोज अवरोधन (DLL खोज आदेश अपहरण)

सिस्टम: विंडोज
अधिकार: उपयोगकर्ता, प्रशासक, प्रणाली
विवरण: तकनीक एल्गोरिथ्म में भेद्यता का दोहन करने में शामिल है, जो DLL फ़ाइलों को खोजने के लिए उन्हें काम करने की आवश्यकता होती है ( MSA2269637 )। अक्सर, DLL खोज निर्देशिका प्रोग्राम की कार्यशील निर्देशिका होती है, इसलिए हमलावर स्रोत DLL को उसी फ़ाइल नाम के साथ दुर्भावनापूर्ण के साथ बदल सकते हैं।
DLL खोजों पर दूरस्थ हमलों को तब किया जा सकता है जब प्रोग्राम दूरस्थ निर्देशिका में अपनी वर्तमान निर्देशिका को स्थापित करता है, उदाहरण के लिए, एक नेटवर्क साझा। इसके अलावा, हमलावर सीधे .manifest या .local फ़ाइलों को बदलकर DLL खोजने और लोड करने की विधि को बदल सकते हैं, जो DLL खोज मापदंडों का वर्णन करते हैं। यदि हमला किया गया कार्यक्रम उच्च स्तर के विशेषाधिकारों के साथ काम करता है, तो इसके द्वारा लोड किए गए दुर्भावनापूर्ण DLL को भी उच्च अधिकारों के साथ निष्पादित किया जाएगा। इस मामले में, तकनीक का उपयोग उपयोगकर्ता से प्रशासक या सिस्टम तक विशेषाधिकार बढ़ाने के लिए किया जा सकता है।

सुरक्षा सिफारिशें: दूरस्थ DLL लोडिंग को रोकें (Windows Server 2012 में डिफ़ॉल्ट रूप से सक्षम) और XP + और सर्वर 2003+ के अपडेट के साथ उपलब्ध)। DLL के लिए सुरक्षित खोज मोड को सक्षम करता है, जो वर्तमान एप्लिकेशन निर्देशिका में DLL खोज करने से पहले खोज निर्देशिका जैसे % SYSTEMROOT% को प्रतिबंधित करता है।
सुरक्षित DLL खोज मोड सक्षम करना:
कंप्यूटर कॉन्फ़िगरेशन> [नीतियाँ]> प्रशासनिक टेम्पलेट> MSS (लिगेसी): MSS: (SafeDllSearchMode) सुरक्षित DLL खोज मोड सक्षम करें।
पत्राचार रजिस्ट्री कुंजी:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ SafeDLLSearchMode।
PowerSploit में PowerUP जैसे उपकरणों का उपयोग करके DLL की कमियों को ठीक करने के लिए एक संरक्षित प्रणाली के ऑडिटिंग पर विचार करें। दुर्भावनापूर्ण और संभावित खतरनाक सॉफ़्टवेयर को अवरुद्ध करने के साथ-साथ Microsoft अनुशंसाओं का पालन करना न भूलें।

Dylib खोज अवरोध (Dylib अपहरण)

सिस्टम: macOS
अधिकार: उपयोगकर्ता
विवरण: तकनीक macOS और OS X पर dylib डायनामिक लाइब्रेरी सर्च एल्गोरिदम में कमजोरियों पर आधारित है ।लब्बोलुआब यह है कि डिलिब को निर्धारित करने के लिए कि आक्रमण किए गए एप्लिकेशन लोड होते हैं और फिर डिलिब के दुर्भावनापूर्ण संस्करण को आवेदन की कार्यशील निर्देशिका में उसी नाम के साथ रखते हैं। यह एप्लिकेशन को डिलिब को लोड करने का कारण होगा, जो कार्यक्रम की कार्यशील निर्देशिका में स्थित है। इस मामले में, दुर्भावनापूर्ण डायलिब को हमले के आवेदन के उपयोग के अधिकारों के साथ निष्पादित किया जाएगा। सुरक्षा सुझाव

: उपयोगकर्ताओं को फाइल लिखने से रोकें खोज निर्देशिकाओं के लिए। ऑब्जेक्टिव- व्यू से डायलिब हाइजैकिंग स्कैनर का उपयोग करके कमजोरियों का ऑडिट करें ।

बाहरी दूरस्थ सेवाएँ

सिस्टम: विंडोज
अधिकार: उपयोगकर्ता
विवरण: हमलावर नेटवर्क के भीतर खुद को सुरक्षित करने के लिए संगठन की बाहरी दूरस्थ सेवाओं, जैसे वीपीएन, सिट्रिक्स, और WinRM का उपयोग कर सकते हैं। झूठी साइटों (फ़ार्मिंग) के लिए उपयोगकर्ताओं को पुनर्निर्देशित करने, या नेटवर्क से समझौता करने के चरण में तकनीकों का उपयोग करके प्राप्त वैध खातों का उपयोग करके सेवाओं तक पहुंच बनाई जा सकती है।

सुरक्षा सिफारिशें:वीपीएन का उपयोग करके, केंद्र द्वारा प्रबंधित स्विच का उपयोग करके दूरस्थ सेवाओं तक पहुंच को प्रतिबंधित करना। प्रॉक्सी, गेटवे और फायरवॉल के उपयोग के माध्यम से आंतरिक नेटवर्क तक सीधे दूरस्थ पहुंच का निषेध। ऐसी सेवाओं को अक्षम करना जिनका उपयोग दूरस्थ रूप से किया जा सकता है, जैसे कि WinRM। दो-कारक प्रमाणीकरण का उपयोग। काम के घंटों के बाहर दूरस्थ सेवाओं का उपयोग करने की गतिविधि की निगरानी करना।

फ़ाइल सिस्टम स्तर पर अनुमतियों का नुकसान (फ़ाइल सिस्टम अनुमतियाँ कमज़ोरी)

सिस्टम: विंडोज
अधिकार: उपयोगकर्ता, प्रशासक
विवरण: तकनीक का सार निष्पादन योग्य फ़ाइलों को बदलने के लिए है जो स्वचालित रूप से विभिन्न प्रक्रियाओं द्वारा लॉन्च किए जाते हैं (उदाहरण के लिए, ओएस लोड करते समय या एक निश्चित समय पर, यदि निष्पादन योग्य फ़ाइलों के अधिकार गलत तरीके से कॉन्फ़िगर किए गए हैं)। स्पूफिंग के बाद, दुर्भावनापूर्ण फ़ाइल को प्रक्रिया अधिकारों के साथ लॉन्च किया जाएगा, इसलिए यदि प्रक्रिया में उच्च पहुंच स्तर है, तो हमलावर विशेषाधिकारों को बढ़ाने में सक्षम होगा। इस तकनीक में, हमलावर विंडोज सेवा बाइनरी फ़ाइलों में हेरफेर करने का प्रयास कर सकते हैं।
हमले का एक और संस्करण स्वयं-निकालने वाले इंस्टॉलरों के काम में एल्गोरिदम की कमियों से जुड़ा हुआ है। स्थापना प्रक्रिया के दौरान, इंस्टॉलर अक्सर विभिन्न उपयोगी फ़ाइलों को अनपैक करते हैं, जिनमें .Dll और .exe शामिल हैं,% TEMP% निर्देशिका में, हालांकि, वे अनपैक फ़ाइलों तक पहुंच को प्रतिबंधित करने के लिए उपयुक्त अनुमतियाँ सेट नहीं कर सकते हैं, जो हमलावरों को स्पूफिंग और प्रदर्शन करने की अनुमति देता है, और नतीजतन, विशेषाधिकारों को बढ़ाएँ या बायपास खाते को नियंत्रित करें कुछ इंस्टॉलर विस्तारित विशेषाधिकारों के साथ चलते हैं।

सुरक्षा सिफारिशें:खाता अधिकार प्रतिबंध ताकि केवल व्यवस्थापक ही सेवाओं का प्रबंधन कर सकें और सेवाओं द्वारा उपयोग की जाने वाली बाइनरी फाइलों के साथ बातचीत कर सकें। मानक उपयोगकर्ताओं के लिए UAC विशेषाधिकार वृद्धि विकल्पों को अक्षम करें। UAC सेटिंग्स को निम्न रजिस्ट्री कुंजी में संग्रहीत किया जाता है:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ नीतियाँ \ प्रणाली] ।

विशेषाधिकार वृद्धि अनुरोधों को स्वचालित रूप से अस्वीकार करने के लिए, आपको एक कुंजी जोड़ना होगा:

"कंसेंटप्रोमप्टबहेवियरोर" = डॉर्ड: 00000000।

इंस्टॉलरों के काम को नियंत्रित करने के लिए, आपको एक कुंजी जोड़ने की आवश्यकता है:

"EnableInstallerDetection" = dword: 00000001 , जिसमें प्रोग्राम इंस्टॉल करने के लिए पासवर्ड की आवश्यकता होगी।

छिपी हुई फाइलें और निर्देशिकाएँ

सिस्टम: Windows, Linux, macOS
अधिकार: उपयोगकर्ता
विवरण:हमलावर फ़ाइलों और फ़ोल्डरों को छिपाने की क्षमता का उपयोग कर सकते हैं ताकि उपयोगकर्ताओं का ध्यान आकर्षित न किया जा सके। विंडोज पर, उपयोगकर्ता एट्रिब कमांड का उपयोग करके फाइलें छिपा सकते हैं। फ़ाइल को सिस्टम के रूप में चिह्नित करने के लिए फ़ाइल या "+ s" को छिपाने के लिए विशेषता + h <फ़ाइल नाम> को निर्दिष्ट करने के लिए पर्याप्त है। "/ S" पैरामीटर जोड़कर, अट्रिब उपयोगिता पुनरावर्ती रूप से परिवर्तनों को लागू करेगा। लिनक्स / मैक पर, उपयोगकर्ता फ़ाइलों और फ़ोल्डरों को एक "फ़ाइल नाम की शुरुआत में" निर्दिष्ट करके छिपा सकते हैं। उसके बाद, फाइल्स और फोल्डर को फाइंडर एप्लिकेशन से और “ls” यूटिलिटी से छिपा दिया जाएगा। MacOS पर, फ़ाइलों को UF_HIDDEN के साथ ध्वजांकित किया जा सकता है, जो फाइंडर.एप्प में उनकी दृश्यता को अक्षम कर देगा, लेकिन छिपी हुई फ़ाइलों को Terminal.app में देखने से नहीं रोकेगा। कई एप्लिकेशन छिपी हुई फ़ाइलों और फ़ोल्डरों को बनाते हैं ताकि उपयोगकर्ता के कार्यक्षेत्र को अव्यवस्थित न करें। उदाहरण के लिएSSH उपयोगिताओं एक छिपी हुई .ssh फ़ोल्डर बनाती हैं जो ज्ञात होस्ट और उपयोगकर्ता कुंजियों की एक सूची संग्रहीत करती है।

सुरक्षा सिफारिशें: इस तकनीक का उपयोग करने की संभावना को रोकना इस तथ्य के कारण मुश्किल है कि फाइलें छिपाना ओएस का एक मानक विशेषता है।

विंडोज एपीआई फ़ीचर कॉलिंग (हुकिंग) को इंटरसेप्ट करना

सिस्टम: विंडोज
राइट्स: एडमिनिस्ट्रेटर, सिस्टम
विवरण: विंडोज एपीआई फ़ंक्शन आमतौर पर DLL में संग्रहीत किए जाते हैं। हुकिंग की तकनीक एपीआई कार्यों के लिए कॉल को पुनर्निर्देशित करना है:

हुक प्रक्रियाएं - ओएस में निर्मित प्रक्रियाएं जो विभिन्न घटनाओं को कॉल करने पर कोड निष्पादित करती हैं, उदाहरण के लिए, कीस्ट्रोक्स या माउस को स्थानांतरित करना;
पता तालिका (IAT) में संशोधन, जो एपीआई कार्यों के लिए संकेत संग्रहीत करता है। यह आपको एक दुर्भावनापूर्ण फ़ंक्शन लॉन्च करने के लिए मजबूर करते हुए, आक्रमण किए गए एप्लिकेशन को "ट्रिक" करने की अनुमति देगा;
फ़ंक्शन का प्रत्यक्ष परिवर्तन (स्प्लिसिंग), जिसके दौरान फ़ंक्शन के पहले 5 बाइट्स को बदल दिया जाता है, जिसके बजाय हमलावर द्वारा निर्धारित एक दुर्भावनापूर्ण या अन्य फ़ंक्शन में संक्रमण डाला जाता है।

इंजेक्शन की तरह, हमलावर दुर्भावनापूर्ण कोड को निष्पादित करने के लिए हुकिंग का उपयोग कर सकते हैं, इसके निष्पादन को मुखौटा कर सकते हैं, हमले की प्रक्रिया की स्मृति तक पहुंच सकते हैं और विशेषाधिकार बढ़ा सकते हैं। हमलावर एपीआई कॉल पर कब्जा कर सकते हैं जिसमें प्रमाणीकरण डेटा शामिल पैरामीटर शामिल हैं। हुकिंग का उपयोग आमतौर पर सिस्टम में दुर्भावनापूर्ण गतिविधि को छिपाने के लिए रूटकिट द्वारा किया जाता है।

सुरक्षा सिफारिशें:ओएस में घटनाओं का अवरोधन प्रणाली के सामान्य संचालन का हिस्सा है, इसलिए इस कार्यक्षमता का कोई भी प्रतिबंध एंटी-वायरस सॉफ़्टवेयर जैसे वैध अनुप्रयोगों की स्थिरता पर प्रतिकूल प्रभाव डाल सकता है। अवरोधन तकनीकों के उपयोग को रोकने के प्रयासों को हमले श्रृंखला के पहले चरणों पर ध्यान केंद्रित करने की आवश्यकता है। आप SetWindowsHookEx और SetWinEventHook फ़ंक्शन पर कॉल की निगरानी करके, रूटकिट डिटेक्टरों का उपयोग करके और प्रक्रियाओं के विषम व्यवहार का विश्लेषण करके दुर्भावनापूर्ण हुकिंग गतिविधि का पता लगा सकते हैं।

सूत्र (सूत्र)

सिस्टम: विंडोज
राइट्स: एडमिनिस्ट्रेटर, सिस्टम
विवरण: हाइपरवाइजर को एक हमलावर द्वारा समझौता किया जा सकता है और गेस्ट सिस्टम से रूटकिट छिपाए जा सकते हैं।
सुरक्षा सिफारिशें: हाइपरवाइजर को स्थापित करने और कॉन्फ़िगर करने के लिए आवश्यक विशेषाधिकार प्राप्त दुर्भावनापूर्ण खातों को रोकें।

IFEO इंजेक्शन (छवि फ़ाइल निष्पादन विकल्प इंजेक्शन)

सिस्टम: विंडोज
अधिकार: प्रशासक, सिस्टम
विवरण: छवि फ़ाइल निष्पादन विकल्प (IFEO) तंत्र आपको प्रोग्राम के बजाय प्रोग्राम डिबगर चलाने की अनुमति देता है, जो पहले रजिस्ट्री में डेवलपर द्वारा निर्दिष्ट किया गया है:

HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image फ़ाइल निष्पादन विकल्प / [निष्पादन योग्य]
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[executable] ,, [executable] — .

इंजेक्शन की तरह, विशेषण को बढ़ाने या सिस्टम में पैर जमाने के लिए मनमानी कोड चलाकर मूल्य [निष्पादन योग्य] का दुरुपयोग किया जा सकता है। दुर्भावनापूर्ण प्रोग्राम IFEO का उपयोग डिबगर्स को पंजीकृत करके सुरक्षा को बायपास करने के लिए कर सकते हैं जो विभिन्न सिस्टम और सुरक्षा अनुप्रयोगों को रीडायरेक्ट और अस्वीकार करते हैं।

सुरक्षा सिफारिशें: वर्णित तकनीक नियमित रूप से ओएस विकास उपकरण के दुरुपयोग पर आधारित है, इसलिए किसी भी प्रतिबंध से वैध सॉफ़्टवेयर की अस्थिरता हो सकती है, उदाहरण के लिए, सुरक्षा अनुप्रयोग। IFEO इंजेक्शन तकनीकों के उपयोग को रोकने के प्रयासों को हमले श्रृंखला के पहले चरणों पर ध्यान केंद्रित करने की आवश्यकता है। आप Debug_process और के साथ प्रक्रियाओं की निगरानी करके इस तरह के हमले का पता लगा सकते हैंDebug_only_this_process ।

एक्सटेंशन और लोड करने योग्य कर्नेल मॉड्यूल (कर्नेल मॉड्यूल और एक्सटेंशन)

सिस्टम: लिनक्स, मैकओएस
अधिकार: रूट
विवरण: डाउनलोड करने योग्य कर्नेल मॉड्यूल (एलकेएम) विशेष कार्यक्रम हैं जिन्हें सिस्टम के पूर्ण रीबूट की आवश्यकता के बिना कर्नेल से लोड और अनलोड किया जा सकता है। उदाहरण के लिए, एलकेएम में डिवाइस ड्राइवर शामिल हैं। हमलावर विभिन्न रूटकिट का उपयोग करके दुर्भावनापूर्ण LKM लोड कर सकते हैं। आमतौर पर, ऐसे रूटकिट्स खुद को तोड़ते हैं, फाइलें, प्रक्रियाएं, नेटवर्क गतिविधि, नकली ऑडिट लॉग, बैकडोर प्रदान करते हैं। MacOS पर LKM की तरह, तथाकथित KEXTs हैं जो लोड किए गए और अनलोड किए गए हैं जो कि कोक्लोड और kextunload कमांड के साथ हैं।

सुरक्षा सिफारिशें:लिनक्स रूटकिट डिटेक्शन टूल का उपयोग करें: rkhunter, chrootkit। रूट खाते तक पहुंच सीमित करें, जो कर्नेल में मॉड्यूल लोड करने के लिए आवश्यक है। SELinux मजबूर अभिगम नियंत्रण का उपयोग करें।

हैडर का मॉडिफिकेशन LC_LOAD_DYLIB एडिशन माच-ओ फाइलों में (LC_LOAD_DYLIB एडिशन)

सिस्टम: macOS
राइट्स: यूजर का
विवरण: माच-ओ फाइलों में कई हेडर होते हैं जिनका उपयोग बाइनरी फाइल डाउनलोड करते समय कुछ ऑपरेशन करने के लिए किया जाता है। हैडर LC_LOAD_DYLIB माच-ओ बायनेरिज़ में ओएस को बताता है कि कौन सी लाइब्रेरियों को लोड करना है। हेडर में परिवर्तन डिजिटल हस्ताक्षर को अमान्य कर देगा, हालांकि, एक हमलावर बाइनरी फ़ाइल से LC_CODE_SIGNATURE कमांड को हटा सकता है और सिस्टम डाउनलोड होने पर हस्ताक्षर को सही नहीं करेगा सत्यापित नहीं करेगा।

सुरक्षा सिफारिशें: सभी बायनेरिज़ को सही ऐप्पल डेवलपर आईडी के साथ हस्ताक्षरित किया जाना चाहिए, और अनुप्रयोगों के श्वेतसूची ज्ञात हैश के अनुसार संकलित की जाती हैं।

स्थानीय सुरक्षा प्राधिकरण (LSASS ड्राइवर) ड्राइवर

सिस्टम: विंडोज
अधिकार: प्रशासक, सिस्टम
विवरण: स्थानीय सुरक्षा प्राधिकरण (एलएसए) - एक विंडोज सबसिस्टम जो उपयोगकर्ता प्रमाणीकरण प्रदान करता है। LSA में कई डायनेमिक इंटरकनेक्टेड DLL शामिल हैं जो LSASS.exe प्रक्रिया में चलते हैं। हमलावर LSASS.exe पर अवैध एलएसए ड्राइवरों को बदलकर या जोड़कर और फिर मनमाने कोड को निष्पादित करके हमला कर सकते हैं। तकनीक को Pasam और Wingbird मालवेयर में लागू किया गया है, जो LSASS को लोड करने के लिए संशोधित DLL का उपयोग करता है। इस मामले में, दुर्भावनापूर्ण कोड को निष्पादित किया जाता है इससे पहले कि अवैध DLL दुर्घटना का कारण बने और बाद में LSASS सेवा दुर्घटना हो।

सुरक्षा सिफारिशें: Windows 8.1 और Server 2012 R2 में, निर्दिष्ट कुंजी को सक्रिय करके LSA सुरक्षा सक्षम करें:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL = dword: 00000001।

यह सुरक्षा सुनिश्चित करती है कि एलएसए-लोडेड प्लगइन्स और ड्राइवर डिजिटल रूप से Microsoft द्वारा हस्ताक्षरित हैं। विंडोज 10 और सर्वर 16 पर, विंडोज डिफेंडर क्रेडेंशियल गार्ड को एक पृथक आभासी वातावरण में lsass.exe चलाने के लिए सक्षम करें । दुर्भावनापूर्ण पुस्तकालयों को lsass.exe में लोड करने के जोखिम को कम करने के लिए, सुरक्षित DLL खोज मोड सक्षम करें:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager \ SafeDllSearchMode।

एजेंटों को लॉन्च करें

सिस्टम: macOS
राइट्स: यूजर, एडमिनिस्ट्रेटर
विवरण: इस तकनीक में उपयोगकर्ता लॉन्च एजेंट - उपयोगकर्ता स्तर पर ऑटोरन सेवाओं को बनाने और लॉन्च करने की कार्यक्षमता का दुरुपयोग किया जाता है। जब प्रत्येक उपयोगकर्ता सिस्टम में लॉग ऑन करता है, तो लॉन्च * .plist फ़ाइलों से लॉन्च एजेंटों के मापदंडों को लोड करता है। प्लिस्ट फ़ाइलों में एक XML संरचना होती है और इसमें निर्देश होते हैं जो लॉन्च को बताता है कि कौन से निष्पादनयोग्य और कब लॉन्च करना है। Plist फ़ाइलें निम्नलिखित निर्देशिकाओं में पाई जा सकती हैं:

/ प्रणाली / पुस्तकालय / LaunchAgents;
/ लाइब्रेरी / लॉंकेगेंट्स;
$ घर / पुस्तकालय / LaunchAgents।

हमलावर वैध कार्यक्रमों के नामों का उपयोग करके दुर्भावनापूर्ण लॉन्च एजेंटों के नामों को भी मुखौटा बना सकते हैं। उदाहरण के लिए, कोम्पलेक्स ट्रोजन एक लॉन्च एजेंट बनाता है: $ HOME / लाइब्रेरी / LaunchAgents / com.apple.updates.plist।

सुरक्षा सिफारिशें: समूह नीति का उपयोग करते हुए, लॉन्च एजेंट बनाने वाले उपयोगकर्ताओं पर प्रतिबंध को कॉन्फ़िगर करें। लॉन्च एजेंटों को बनाना डिस्क पर प्लिस्ट फ़ाइलों को लोड करना या बनाना शामिल है, इसलिए हमले के पहले चरणों में अपने रक्षा प्रयासों पर ध्यान दें।

डेमॉन लॉन्च (लॉन्च डेमॉन)

सिस्टम: macOS
अधिकार: प्रशासक
विवरण: तकनीक में सिस्टम लॉन्च-स्तरीय सेवाओं के मापदंडों को बदलना शामिल है - हमलावर द्वारा फाइल्स-फाइल्स में निर्दिष्ट डेमॉन लॉन्च करें। जब सिस्टम बूट करता है, तो Launchd प्रक्रिया निम्न निर्देशिकाओं में स्थित plist फाइलों से सेवाओं (डेमोंस) के मापदंडों को लोड करती है:

/ प्रणाली / पुस्तकालय / LaunchDeamons;
/ लाइब्रेरी / LaunchDeamons।

लॉन्च डेमॉन को व्यवस्थापक विशेषाधिकारों के साथ बनाया जा सकता है, लेकिन रूट खाते के तहत चलाया जा सकता है, इसलिए एक हमलावर विशेषाधिकारों को बढ़ा सकता है। प्लिस्ट फ़ाइलों की अनुमतियाँ मूल होनी चाहिए: जबकि, इसमें निर्दिष्ट स्क्रिप्ट या प्रोग्राम में कम सख्त अनुमतियाँ हो सकती हैं। इसलिए, एक हमलावर प्लिस्ट में निर्दिष्ट निष्पादन योग्य फ़ाइलों को संशोधित कर सकता है, और इस प्रकार सिस्टम को सुरक्षित करने या विशेषाधिकारों को बढ़ाने के लिए वर्तमान सिस्टम सेवाओं को संशोधित कर सकता है।

सुरक्षा युक्तियाँ : उपयोगकर्ता विशेषाधिकार सीमित करें ताकि केवल अधिकृत व्यवस्थापक लॉन्च डेमॉन बना सकें। मॉनिटरिंग पर विचार करें कि नॉककॉन्क जैसे अनुप्रयोगों का उपयोग करके आपके सिस्टम पर प्लिस्ट फाइलें कैसे बनाई जाती हैं।

लॉंचलेट उपयोगिता

सिस्टम: MacOS
अधिकार: उपयोगकर्ता, प्रशासक
विवरण: launchctl - सेवा launchd के प्रबंधन के लिए उपयोगिता। Launchctl का उपयोग करके, आप सिस्टम और उपयोगकर्ता सेवाओं (LaunchDeamons और LaunchAgents) का प्रबंधन कर सकते हैं, साथ ही कमांड और प्रोग्राम निष्पादित कर सकते हैं। Launchctl कमांड-लाइन उप-क्षेत्र का समर्थन करता है जो मानक इनपुट से इंटरैक्टिव या पुनर्निर्देशित होते हैं:
launchctl submit -l [labelname] - / path / to / thing / to / execute '' arg "'arg"' arg "।
सेवाओं को शुरू करना और पुनः आरंभ करना । डेमोंस, हमलावर कोड को अंजाम दे सकते हैं और यहां तक कि श्वेतसूची को भी बायपास कर सकते हैं यदि लॉंचल एक अधिकृत प्रक्रिया है, हालांकि लोडिंग, अनलोडिंग और रीलोडिंग सेवाओं और डेमन को उन्नत विशेषाधिकार की आवश्यकता हो सकती है।

सुरक्षा सिफारिशें:लॉन्च एजेंटों को बनाने के लिए उपयोगकर्ता अधिकारों को सीमित करना और समूह नीति का उपयोग करके लॉन्च डीमन लॉन्च करना। नॉककॉक ऐप का उपयोग करके, आप ऐसे प्रोग्राम खोज सकते हैं जो लॉन्च एजेंट्स और लॉन्च डेमोंस को प्रबंधित करने के लिए लॉन्चक्लेट का उपयोग करते हैं।

स्थानीय नौकरी निर्धारण

सिस्टम: लिनक्स, macOS
अधिकार: उपयोगकर्ता, व्यवस्थापक, रूट
विवरण: हमलावर अनधिकृत कार्यक्रमों के लिए सिस्टम पर बूट या एक शेड्यूल पर शुरू करने के लिए कार्य कर सकते हैं। लिनक्स और ऐप्पल सिस्टम आवधिक पृष्ठभूमि कार्यों के लॉन्च को शेड्यूल करने के लिए कई तरीकों का समर्थन करते हैं: क्रोन, एट, लॉन्चड। विंडोज टास्क शेड्यूलर के विपरीत, एसएसएच जैसे दूरस्थ सत्रों को छोड़कर, लिनक्स सिस्टम पर कार्य शेड्यूलिंग को दूरस्थ रूप से नहीं किया जा सकता है।

सुरक्षा सिफारिशें: अनुसूचित कार्यों को बनाने के लिए उपयोगकर्ता अधिकारों को सीमित करना, सिस्टम उपयोगिताओं को अवरुद्ध करना और अन्य सॉफ़्टवेयर जिन्हें कार्यों को शेड्यूल करने के लिए उपयोग किया जा सकता है।

आइटम लॉगिन करें

सिस्टम: macOS
अधिकार: उपयोगकर्ता
विवरण: सिस्टम में खुद को सुरक्षित करने के लिए हमलावर स्वचालित रूप से लॉगिन आइटम (प्रत्येक लॉगिन पर एप्लिकेशन स्टार्टअप के लिए उपयोगकर्ता सेटिंग्स) का उपयोग करके अपने कोड को कॉन्फ़िगर कर सकते हैं। सेवा प्रबंधन फ्रेमवर्क का उपयोग करके बनाई गई लॉगिन आइटम सिस्टम सेटिंग्स में प्रदर्शित नहीं होते हैं और केवल उस एप्लिकेशन के माध्यम से हटाए जा सकते हैं जिसमें वे बनाए गए थे। उपयोगकर्ता केवल उन लॉगिन आइटम को प्रबंधित कर सकते हैं जो सिस्टम सेटिंग्स में प्रदर्शित होते हैं। ऐसे लॉगिन आइटम के लिए सेटिंग्स उपयोगकर्ता निर्देशिका में plist फ़ाइल में संग्रहीत की जाती हैं:
~ / लाइब्रेरी / वरीयताएँ / com.apple.loginitems.plist।
लॉग इन आइटम का हिस्सा बनने वाले एप्लिकेशन उन विंडोज़ को प्रदर्शित कर सकते हैं जो स्टार्टअप पर उपयोगकर्ता को दिखाई देते हैं, लेकिन आप उन्हें "छिपाएं" विकल्प के साथ छिपा सकते हैं।

सुरक्षा अनुशंसाएँ: लॉगिन आइटम बनाने के लिए उपयोगकर्ता अधिकारों को सीमित करें। यह ध्यान देने योग्य है कि लॉगिन के दौरान शिफ्ट कुंजी को पकड़ना अनुप्रयोगों को स्वचालित रूप से शुरू होने से रोकता है। लॉगिन आइटम सेटिंग्स ( सिस्टम सेटिंग्स → उपयोगकर्ता और समूह → लॉगिन तत्व ) को नियंत्रित करें ।

लोगन लिपियाँ

सिस्टम: विंडोज, मैकओएस
विवरण: सिस्टम में समेकित करने के लिए, एक हमलावर नई लॉगऑन स्क्रिप्ट को बनाने या संशोधित करने की क्षमता का उपयोग कर सकता है - स्क्रिप्ट जब भी किसी विशेष उपयोगकर्ता या उपयोगकर्ताओं के समूह को सिस्टम पर लॉग ऑन किया जाता है। यदि एक हमलावर ने विंडोज डोमेन नियंत्रक पर एक लॉगऑन स्क्रिप्ट तक पहुंच प्राप्त की है, तो वह इसे नेटवर्क में "साइड-मूव" करने के लिए डोमेन के सभी सिस्टम पर कोड निष्पादित करने के लिए संशोधित कर सकता है। लॉगऑन स्क्रिप्ट फ़ाइलों तक पहुँच अधिकार की सेटिंग्स के आधार पर (आमतौर पर ऐसी स्क्रिप्ट्स को \\ [DC] \ NETLOGON \ में संग्रहीत किया जाता है , हमलावर को स्थानीय या प्रशासनिक क्रेडेंशियल्स की आवश्यकता हो सकती है।

मैक पर, लॉगऑन स्क्रिप्ट ( लॉगिन / लॉगआउट हुक), लॉगिन आइटम के विपरीत, जो उपयोगकर्ता के संदर्भ में लॉन्च किए गए हैं, को रूट के रूप में चलाया जा सकता है।

सुरक्षा अनुशंसाएँ: लॉगिन स्क्रिप्ट बनाने के लिए व्यवस्थापक विशेषाधिकार को प्रतिबंधित करना। संभावित खतरनाक सॉफ़्टवेयर की पहचान और अवरोधन जिसका उपयोग लॉगिन परिदृश्यों को संशोधित करने के लिए किया जा सकता है।

मौजूदा सेवाओं को संशोधित करें

सिस्टम: विंडोज
राइट: एडमिनिस्ट्रेटर, सिस्टम
विवरण: सिस्टम में बार-बार दुर्भावनापूर्ण कोड लॉन्च करने के लिए, एक हमलावर विंडोज एपीआई के साथ बातचीत करने के लिए सिस्टम उपयोगिताओं या टूल का उपयोग करके मौजूदा सेवाओं के कॉन्फ़िगरेशन को संशोधित कर सकता है। हमलावर एक संशोधित कार्यक्रम या सेवा बहाल आदेश के बाद के आह्वान के लिए किसी सेवा को जानबूझकर नुकसान पहुंचा सकते हैं या मार सकते हैं। मौजूदा सेवाओं का उपयोग करना बहाना तकनीक में से एक है जो दुर्भावनापूर्ण गतिविधि का पता लगाना मुश्किल बनाता है। Windows सेवाओं के कॉन्फ़िगरेशन के बारे में जानकारी, जिसमें प्रोग्राम को शुरू करने और पुनर्स्थापित करने के लिए पथ शामिल हैं, रजिस्ट्री में संग्रहीत है:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ सेवाएं ।

आप कंसोल उपयोगिताओं sc.exe और Reg का उपयोग करके सेवाओं के कॉन्फ़िगरेशन को बदल सकते हैं।

सुरक्षा सिफारिशें: सेवा कॉन्फ़िगरेशन बदलने के लिए उपयोगकर्ताओं और समूहों के विशेषाधिकार को सीमित करना, केवल अधिकृत प्रशासकों को अधिकार प्रदान करना। संभावित खतरनाक सॉफ़्टवेयर को अवरुद्ध करना। सिस्टम में हमलावर को सुरक्षित करने के प्रयासों की पहचान करने के लिए सिस्टम सेवाओं में परिवर्तन का अध्ययन करने के लिए सिसिन्टर्नल्स ऑटोरन्स उपयोगिता का उपयोग किया जा सकता है।

नतेश हेल्पर DLLs (नतेश हेल्पर DLL)

सिस्टम: विंडोज
अधिकार: प्रशासक, प्रणाली
विवरण: हमलावर अंतर्निहित Netsh कंसोल सुविधा का उपयोग करके कोड निष्पादित कर सकते हैं, जो विस्तार के लिए DLL को लोड करने की अनुमति देता है:
netsh> सहायक जोड़ें [DLL पाथ]
Netsh द्वारा उपयोग किए गए पंजीकृत पुस्तकालयों के बारे में जानकारी रजिस्ट्री में संग्रहीत है:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ NetSh
कुछ कॉर्पोरेट वीपीएन क्लाइंट और नेटवर्क यूटिलिटीज netsh.exe का उपयोग कर सकते हैं, इसे सिस्टम की ओर से शुरू कर सकते हैं, इस स्थिति में, हमलावर उस सहायक डीएलएल को पंजीकृत या संशोधित कर सकता है जिसे वीपीएन क्लाइंट नेटश का उपयोग करते समय निष्पादित करेगा। इस तरह के हमले को लागू करने के लिए उपकरण कोबाल्टस्ट्राइक (पैठ परीक्षण ढांचे) के साथ शामिल हैं।

सुरक्षा युक्तियाँ: AppLocker जैसे उपकरणों का उपयोग करके संभावित रूप से खतरनाक सॉफ़्टवेयर को ब्लॉक करें।

नई सेवाएँ

सिस्टम: विंडोज
अधिकार: प्रशासक, प्रणाली
विवरण: सिस्टम में नाम का उपयोग, हमलावर नई सेवाएं बना सकते हैं और स्वचालित रूप से शुरू करने के लिए उन्हें कॉन्फ़िगर कर सकते हैं। ऑपरेटिंग सिस्टम के लिए विशिष्ट नामों का उपयोग करके सेवा का नाम मास्क किया जा सकता है। सेवाएँ व्यवस्थापक विशेषाधिकारों के साथ बनाई जा सकती हैं, लेकिन सिस्टम की ओर से चलती हैं। सेवाओं को कमांड लाइन से बनाया जा सकता है, विंडोज एपीआई के साथ इंटरऑपरेबिलिटी के साथ रिमोट एक्सेस टूल का उपयोग करके या मानक विंडोज और पावरशेल प्रबंधन टूल का उपयोग करके।

सुरक्षा सिफारिशें: नई सेवाओं को बनाने के लिए उपयोगकर्ता अधिकारों को सीमित करें ताकि केवल अधिकृत व्यवस्थापक ही ऐसा कर सकें। AppLocker और Software प्रतिबंध नीति लागू करें।

कार्यालय अनुप्रयोगों में ऑटोस्टार्ट (कार्यालय अनुप्रयोग स्टार्टअप)

सिस्टम: विंडोज
अधिकार: उपयोगकर्ता, प्रशासक
विवरण: कुछ एमएस ऑफिस वर्क मैकेनिज्म का इस्तेमाल ऑफिस एप्लिकेशन चलाने के दौरान कोड को निष्पादित करने के लिए किया जा सकता है और परिणामस्वरूप, हमलावरों को सिस्टम में अपनी गति प्रदान करने के लिए:
• मूल कार्यालय टेम्पलेट्स में दुर्भावनापूर्ण VBA मैक्रो एम्बेड करना। Word Normal.dotm टेम्पलेट का उपयोग करता है:
C: \ Users \ [Username] \ AppData \ Roaming \ Microsoft \ Templates \ Normal.dotm ।
एक्सेल में कोई डिफ़ॉल्ट टेम्पलेट नहीं है, हालांकि आप इसे मैन्युअल रूप से जोड़ सकते हैं और यह स्वचालित रूप से लोड होगा:
C: \ Users \ [Username] \ AppData \ Roaming \ Microsoft \ Excel \ XLSTART \ Personal.xls ।
हमले का कार्यान्वयन केवल तभी संभव है जब कार्यालय ट्रस्ट सेंटर में " रन ऑल मैक्रोज़ " विकल्प सक्षम हो:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ [संस्करण] \ [अनुप्रयोग] \ सुरक्षा \ VBAWarnings: 1;
• Windows रजिस्ट्री के Office परीक्षण अनुभाग में DLL लिंक रखने से निर्दिष्ट DLL हर बार निष्पादित होता है जब Office अनुप्रयोग प्रारंभ होता है:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office Test \ Special \ Perf \ [डिफ़ॉल्ट]: [DLL के लिए पथ निर्दिष्ट करें];
• दुर्भावनापूर्ण कोड के साथ Office अनुप्रयोग में ऐड-ऑन जोड़ना जो आक्रमण किए गए एप्लिकेशन के शुरू होने पर निष्पादित किया जाएगा।

सुरक्षा सर्वोत्तम व्यवहार : मैक्रो सुरक्षा सेटिंग्स को कॉन्फ़िगर करते समय Microsoft की सर्वोत्तम प्रथाओं का पालन करें। Office परीक्षण तंत्र के संचालन को रोकने के लिए, रजिस्ट्री में निर्दिष्ट अनुभाग बनाएं और उस पर केवल-पढ़ने के लिए अनुमतियाँ सेट करें, ताकि इसे व्यवस्थापक अधिकारों के लिए उपयोग किया जा सके। यदि संभव हो, तो कार्यालय ऐड-इन्स को अक्षम करें, यदि आपको उनकी आवश्यकता है, तो उनके काम को व्यवस्थित करते समय Microsoft की सिफारिशों का पालन करें।

पथ अवरोध

सिस्टम: विंडोज
अधिकार: उपयोगकर्ता, व्यवस्थापक, प्रणाली
विवरण: एक पथ को इंटरसेप्ट करने की तकनीक निष्पादन योग्य फ़ाइल को एक निर्देशिका में रखना है जहां से एप्लिकेशन लक्ष्य फ़ाइल के बजाय इसे लॉन्च करेगा। एक हमलावर निम्नलिखित विधियों का उपयोग कर सकता है:

कोई न कोई रास्ता। सेवा निष्पादन योग्य फ़ाइलों के पथ रजिस्ट्री कुंजियों में संग्रहीत किए जाते हैं और इनमें एक या अधिक स्थान हो सकते हैं, उदाहरण के लिए, C: \ Program Files \ service.exe , यदि हमलावर सिस्टम में फ़ाइल C: \ Program.exe बनाता है, तो Windows पथ को संसाधित करने के बजाय इसे प्रारंभ करेगा। सेवा लक्ष्य फ़ाइल।
पर्यावरण चर का गलत विन्यास। यदि पथ चर में C: \ example c से पहले आता है : \ Windows \ System32 और फ़ाइल C: \ example \ net.exe मौजूद है , तो जब नेट कमांड कहा जाता है, C: \ example \ net.exe निष्पादित किया जाएगा, और c नहीं \ _ Windows \ System32 \ net.exe ।
खोज क्रम का अवरोधन (खोज क्रम अपहरण)। जब निष्पादन योग्य फ़ाइल के लिए पूर्ण पथ निर्दिष्ट नहीं किया जाता है, तो विंडोज, एक नियम के रूप में, वर्तमान निर्देशिका में निर्दिष्ट नाम के साथ फाइल की खोज करता है, फिर सिस्टम निर्देशिकाओं को खोजता है। उदाहरण के लिए, फ़ाइल "example.exe", जब निष्पादित की जाती है, तो नेट उपयोग कमांड को निष्पादित करने के लिए तर्कों के साथ cmd.exe शुरू होता है। हमलावर net.exe फ़ाइल को example.exe स्थान निर्देशिका में रख सकता है और इसे c: \ Windows \ System32 \ net.exe उपयोगिता के बजाय लॉन्च किया जाएगा। इसके अलावा, यदि हमलावर net.exe फ़ाइल को net.exe फ़ाइल के साथ निर्देशिका में रखता है, तो Windows, PATHEXT सिस्टम चर में परिभाषित निष्पादन आदेश के अनुसार net.com निष्पादित करेगा।

फ़ाइल खोज ऑर्डर अवरोधन का उपयोग खोज अपहरण अपहरण DLL तकनीक का उपयोग करके DLL को निष्पादित करने के लिए भी किया जाता है।

सुरक्षा अनुशंसाएँ: उद्धरण चिह्न कॉन्फ़िगरेशन फ़ाइल, स्क्रिप्ट, पथ चर, सेवा सेटिंग्स और शॉर्टकट में निर्दिष्ट पथ को इंगित करते हैं। निष्पादन योग्य फ़ाइलों के खोज क्रम को याद रखें और केवल पूर्ण पथ का उपयोग करें। दूरस्थ सॉफ्टवेयर से बची हुई पुरानी रजिस्ट्री कुंजियों को साफ करें ताकि रजिस्ट्री में कोई भी चाबी न रह जाए जो गैर-मौजूद फाइलों की ओर इशारा करती है। सिस्टम के उपयोगकर्ताओं द्वारा रूट निर्देशिका C: \ और Windows सिस्टम निर्देशिकाओं पर लिखने पर प्रतिबंध स्थापित करें, निष्पादन योग्य फ़ाइलों के साथ निर्देशिकाओं के लिए अनुमतियों को लिखें।

Plist फ़ाइलों का संशोधन (Plist संशोधन)

प्रणाली: macOS
अधिकार: उपयोगकर्ता, प्रशासक
विवरण: हमलावर किसी अन्य उपयोगकर्ता के संदर्भ में इसके निष्पादन के लिए अपने कोड को निर्दिष्ट करके प्लिस्ट फ़ाइलों को संशोधित कर सकते हैं। / Library / Preferences में स्थित plist संपत्ति फाइलें एलिवेटेड विशेषाधिकारों के साथ चलाई जाती हैं, और ~ / Library / Preferences की plist फाइलें उपयोगकर्ता विशेषाधिकारों के साथ चलाई जाती हैं।

सुरक्षा युक्तियाँ : प्लिस्ट फ़ाइलों को केवल पढ़ने के लिए संशोधित करके रोकें।

बंदरगाह की दस्तक

सिस्टम: लिनक्स, macOS
अधिकार: उपयोगकर्ता
वर्णन: हमलावर पोर्ट नॉकिंग विधियों का उपयोग खुले बंदरगाहों को छिपाने के लिए कर सकते हैं जो वे सिस्टम से कनेक्ट करने के लिए उपयोग करते हैं।

सिक्योरिटी टिप्स : स्टेटफुल फायरवॉल का इस्तेमाल करके कुछ पोर्ट नॉकिंग विकल्पों को लागू होने से रोका जा सकता है।

प्रिंट मैनेजर में पोर्ट मॉनिटर्स का संशोधन (पोर्ट मॉनिटर्स)

सिस्टम: विंडोज
अधिकार: प्रशासक, प्रणाली
विवरण: हर बार सिस्टम की ओर से एक मनमानी DLL के निष्पादन के लिए एक हमलावर व्यवस्था कर सकता है, प्रिंट प्रबंधक सेटिंग्स (Spoolsv.exe) के दुरुपयोग का उपयोग करके विंडोज बूट करता है। प्रिंट उपकरणों के साथ बातचीत करने के लिए, Spoolsv.exe तथाकथित पोर्ट मॉनिटर का उपयोग करता है - ये DLL लाइब्रेरी हैं, जो LAN, USB, LPT या COM-इंटरफ़ेस के माध्यम से प्रिंट डिवाइसों पर भेजे जाने के लिए निम्न-स्तरीय कमांड का उपयोग करते हैं। उपरोक्त DLL C: \ windows \ system32 में संग्रहीत हैं और रजिस्ट्री में पंजीकृत हैं:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Print \ मॉनिटर्स ।
पोर्ट मॉनिटर को AddMonitor API का उपयोग करके या सीधे उपरोक्त रजिस्ट्री कुंजी को संपादित करके स्थापित किया जा सकता है।

सुरक्षा सिफारिशें: संभावित खतरनाक सॉफ़्टवेयर को अवरुद्ध करने और अनुप्रयोग लॉन्च नियंत्रण उपकरणों का उपयोग करने के लिए व्यवस्थित करें।

Rc.common

प्रणाली: macOS
अधिकार: जड़
विवरण: एक हमलावर /etc/rc.common फ़ाइल में कोड जोड़ सकता है जो हर बार सिस्टम बूट को रूट के रूप में निष्पादित करेगा। Rc.common एक स्क्रिप्ट है जो OC बूट के दौरान चलती है, और लॉन्च एजेंट्स और Launh Deamons की अग्रदूत है। यह ऑटोस्टार्ट कार्यक्रमों के लिए एक पुरानी तकनीक है, लेकिन यह अभी भी macOS और OS X पर समर्थित है।

सुरक्षा अनुशंसाएँ: rc.common फ़ाइल को संपादित करने के लिए उपयोगकर्ता विशेषाधिकारों को प्रतिबंधित करें।

अनुप्रयोग फिर से खोला

प्रणाली: macOS
अधिकार: उपयोगकर्ता
विवरण: OS X 10.7 (लायन) के साथ शुरू होने वाली प्रणालियों पर, एक हमलावर हर बार एक दुर्भावनापूर्ण फ़ाइल के निष्पादन को व्यवस्थित कर सकता है जब OS रिबूट हो जाता है। तकनीक सिस्टम को रिबूट करने के बाद अनुप्रयोगों को फिर से शुरू करने के कार्य के दुरुपयोग पर आधारित है। जीयूआई में निर्मित उपकरणों का उपयोग करके, उपयोगकर्ता सिस्टम को बता सकता है कि ओएस रिबूट के मामले में किन अनुप्रयोगों को फिर से शुरू करने की आवश्यकता है। ये सेटिंग्स plist फ़ाइलों में संग्रहीत हैं:

~ / पुस्तकालय / वरीयताएँ / com.apple.loginwindow.plist;
~ / पुस्तकालय / वरीयताएँ / ByHost / com.apple.loginwindows। *। Plist

हर बार सिस्टम के रिबूट होने पर दुर्भावनापूर्ण कोड को निष्पादित करने के लिए एक हमलावर उपरोक्त फ़ाइलों को संशोधित कर सकता है।

सुरक्षा सिफारिशें: एप्लिकेशन पुनरारंभ फ़ंक्शन कंसोल कमांड का उपयोग करके अक्षम किया जा सकता है: डिफॉल्ट्स -g ApplePersistence -bool no ।
इसके अलावा, बूट के दौरान शिफ्ट कुंजी को दबाए रखने से एप्लिकेशन अपने आप शुरू होने से बच जाते हैं।

निरर्थक पहुँच

सिस्टम: विंडोज, लिनक्स, मैकओएस
अधिकार: उपयोगकर्ता, प्रशासक, प्रणाली
विवरण: हमलावर एक साथ कई रिमोट एक्सेस टूल का उपयोग अलग-अलग नियंत्रण प्रोटोकॉल के साथ कर सकते हैं ताकि पता लगाने के जोखिमों में विविधता लाई जा सके। इसलिए, यदि रिमोट एक्सेस टूल में से एक का पता लगाया गया है और अवरुद्ध किया गया है, लेकिन बचाव पक्ष ने सभी हमलावर उपकरणों की पहचान नहीं की है, तो हमलावर नेटवर्क के रिमोट एक्सेस को अभी भी संरक्षित किया जाएगा। हमलावर दूरस्थ रिमोट सेवाओं के वैध खातों तक पहुंच प्राप्त करने का प्रयास कर सकते हैं, जैसे कि वीपीएन, रिमोट एक्सेस के बुनियादी उपकरणों को अवरुद्ध करने के मामले में सिस्टम तक वैकल्पिक पहुंच प्राप्त करने के लिए। वेब-शेल का उपयोग करना वेब सर्वर के माध्यम से किसी नेटवर्क को दूरस्थ रूप से एक्सेस करने के तरीकों में से एक है।

सुरक्षा सिफारिशें: अपने नेटवर्क (AmmyAdmin, Radmin, RemotePC, VNC, आदि) में ज्ञात रिमोट एक्सेस टूल के लॉन्च की मौजूदगी और अवरोधन की निगरानी करें, एप्लिकेशन लॉन्च को नियंत्रित करने और संभावित खतरनाक सॉफ़्टवेयर को ब्लॉक करने के लिए टूल का उपयोग करें। IDS और IPS सिस्टम की शुरूआत, जो हस्ताक्षर का उपयोग करते हुए विशिष्ट मैलवेयर का पता लगाते हैं, एक सफल हमले की संभावना को कम कर देंगे, लेकिन समय के साथ, हमलावर हस्ताक्षर को बदलने के लिए अपने उपकरणों को संशोधित करेंगे और, परिणामस्वरूप, IDS और IPS सिस्टम को बायपास करेंगे।

रन कुंजी और स्टार्टअप फ़ोल्डर (रजिस्ट्री रन कुंजी / स्टार्ट फ़ोल्डर) का उपयोग करके ऑटोस्टार्ट करें

सिस्टम: विंडोज
अधिकार: उपयोगकर्ता, प्रशासक
विवरण: जब कोई उपयोगकर्ता सिस्टम पर लॉग ऑन करता है तो दुर्भावनापूर्ण फ़ाइल लॉन्च करने के लिए एक हमलावर विंडोज रन में "रन कीज़" या स्टार्टअप फ़ोल्डर के लिए एक लिंक जोड़ सकता है। कार्यक्रम को वर्तमान उपयोगकर्ता के अधिकारों के साथ निष्पादित किया जाएगा। हमलावर रजिस्ट्री में स्टार्टअप कुंजी को मुखौटा कर सकते हैं ताकि वे वैध कार्यक्रमों के भाग की तरह दिखें।
रन कुंजियाँ निम्न रजिस्ट्री कुंजियों में संग्रहीत की जाती हैं:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce;
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run;
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce।

सुरक्षा सिफारिशें: संभावित खतरनाक सॉफ़्टवेयर की पहचान और अवरोधन, स्टार्टअप फ़ोल्डर और ऊपर सूचीबद्ध रजिस्ट्री शाखाओं में परिवर्तन की निगरानी करना।

SIP और ट्रस्ट प्रदाता अपहरण (SIP और ट्रस्ट प्रदाता) , विंडोज में सबवेर्टिंग ट्रस्ट

सिस्टम: विंडोज
अधिकार: प्रशासक, प्रणाली
विवरण: हमलावर Windows कोड के डिजिटल हस्ताक्षर पर हस्ताक्षर करने और सत्यापित करने के लिए आर्किटेक्चर के घटकों को संशोधित कर सकते हैं, केवल उन प्रोग्रामों के लॉन्च को नियंत्रित करने के साधनों को बाईपास करते हैं जो केवल हस्ताक्षर किए गए कोड को चलाने की अनुमति देते हैं। विंडोज़ में विभिन्न प्रारूपों की फाइलों के हस्ताक्षर बनाने, हस्ताक्षर करने और सत्यापित करने के लिए, तथाकथित विषय इंटरफ़ेस पैकेज (एसआईपी) का उपयोग किया जाता है - सॉफ्टवेयर विनिर्देश जो प्रत्येक प्रकार की फ़ाइल के लिए अद्वितीय हैं, जो एपीआई कार्यों के बीच बातचीत की अनुमति देता है जो हस्ताक्षर की रचना, गणना और सत्यापन शुरू करते हैं और सीधे फ़ाइलें। हस्ताक्षर की वैधता की पुष्टि तथाकथित ट्रस्ट प्रदाता द्वारा की जाती है - ये ओएस के सॉफ्टवेयर घटक हैं जो डिजिटल हस्ताक्षर की गणना और सत्यापन से संबंधित विभिन्न प्रक्रियाएं करते हैं।
लोकप्रिय हमले के तरीके:

CryptSIPDllGetSignedDataMsg अनुभाग में DLL और फंकनाम कीज़ का संशोधन:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ OID \ EncodingType 0 \ CryptSIPDllGetSignedDataMsg \ [SIP_GUID] ।
यह DLL लाइब्रेरी को बदलने के लिए किया जाता है जो CryptSIPDllGetSignDataMSG फ़ंक्शन प्रदान करता है, जो हस्ताक्षरित फ़ाइल से एन्कोडेड डिजिटल प्रमाणपत्र लौटाता है। एक नकली फ़ंक्शन हमेशा एक संशोधित SIP का उपयोग करते समय पहले से मान्य मान्य हस्ताक्षर मान (उदाहरण के लिए, निष्पादन योग्य सिस्टम फ़ाइलों के लिए एक Microsoft हस्ताक्षर) वापस कर सकता है। एक हमलावर सभी फाइलों के लिए एक वैध हस्ताक्षर लागू करने का प्रयास कर सकता है, हालांकि, सबसे अधिक संभावना है, यह हस्ताक्षर को अमान्य करने की ओर ले जाएगा, क्योंकि फ़ंक्शन द्वारा लौटाया गया हैश फ़ाइल से गणना की गई हैश से मेल नहीं खाएगा।
अनुभाग में डीएलएल और फंकनाम कीज का संशोधन:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ OID \ EncodingType 0 \ CryptSIPDllVerifyIndirectData / [SIP_GUID] ।
यह DLL लाइब्रेरी को बदलने के लिए किया जाता है जो CryptSIPDllVerifyIndirectData फ़ंक्शन प्रदान करता है, जो डिजिटल हस्ताक्षर में निर्दिष्ट हैश के साथ फ़ाइल से गणना की गई हैश की जांच करता है और सत्यापन (ट्रू / फाल्स) का परिणाम देता है। इस प्रकार, एक हमलावर संशोधित एसआईपी का उपयोग करके किसी भी फ़ाइल का सफल सत्यापन सुनिश्चित कर सकता है। उपरोक्त मुख्य मान मौजूदा लाइब्रेरी से उपयुक्त फ़ंक्शन पर पुनर्निर्देशित कर सकते हैं, इस प्रकार डिस्क पर एक नई DLL फ़ाइल बनाने की आवश्यकता को समाप्त कर सकते हैं।
अनुभाग में डीएलएल और फंकनाम कीज का संशोधन:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ Providers \ Trust \ FinalPolicy / [ट्रस्ट प्रदाता GUID] ।
इसका उद्देश्य डीएलएल लाइब्रेरी को बदलना है जो एक विशिष्ट ट्रस्ट प्रदाता के लिए फ़िनपोलिस फ़ंक्शन प्रदान करता है, जो कि डीकोड करता है, हस्ताक्षर का विश्लेषण करता है और ट्रस्ट के बारे में निर्णय करता है। CryptSIPDllVerifyIndirectData के समान, उपरोक्त कुंजियों का मान मौजूदा DLL पर पुनर्निर्देशित कर सकता है।

यह ध्यान रखना महत्वपूर्ण है कि डीएलएल सर्च ऑर्डर अपहरण तकनीक का उपयोग करके विंडोज ट्रस्ट तंत्र पर वर्णित हमले को लागू किया जा सकता है।

सुरक्षा सिफारिशें: सुनिश्चित करें कि संरक्षित प्रणाली के उपयोगकर्ता SIP और ट्रस्ट प्रदाता घटकों से संबंधित रजिस्ट्री कुंजियों को संशोधित नहीं कर सकते। अनावश्यक और अप्रचलित एसआईपी को हटाने पर विचार करें। दुर्भावनापूर्ण DLL के डाउनलोड को अवरुद्ध करने के लिए सभी प्रकार के साधनों का उपयोग करें, उदाहरण के लिए, जो Windows AppLocker और DeviceGuard में बनाया गया है।

अनुसूचित कार्य

सिस्टम: विंडोज
अधिकार: उपयोगकर्ता, प्रशासक, प्रणाली
विवरण: यूटिलिटीज जैसे कि, स्कैटस्क और विंडोज टास्क शेड्यूलर का उपयोग प्रोग्राम और स्क्रिप्ट को एक विशेष तिथि और समय पर चलाने के लिए शेड्यूल करने के लिए किया जा सकता है। किसी कार्य को दूरस्थ सिस्टम पर शेड्यूल किया जा सकता है, बशर्ते कि आरपीसी प्रमाणीकरण के लिए उपयोग किया जाता है और प्रिंटर और फ़ाइल साझाकरण सक्षम है। एक दूरस्थ प्रणाली पर समयबद्धन कार्यों को प्रशासक विशेषाधिकारों की आवश्यकता होती है। एक हमलावर सिस्टम विशेषाधिकारों को हासिल करने के लिए या किसी विशिष्ट खाते के तहत एक प्रक्रिया शुरू करने के लिए रिमोट कोड निष्पादन का उपयोग कर सकता है।

सुरक्षा सिफारिशें: उपयोगकर्ता विशेषाधिकार सीमित करें। PowerSploit में पावरअप मॉड्यूल जैसे टूल का उपयोग करना, जिसका उपयोग अनुसूचित कार्यों के समाधान में कमजोरियों को खोजने के लिए किया जा सकता है। सिस्टम की ओर से कार्य शुरू करने की क्षमता को अक्षम करना, सुरक्षा नीति में " सर्वर ऑपरेटरों को कार्यों को शेड्यूल करने की अनुमति दें " विकल्प को अक्षम करना, और सेटिंग को सक्षम करना " उपयोगकर्ता अधिकार असाइनमेंट: शेड्यूलिंग प्राथमिकता को बढ़ाएं "।

स्क्रीन सेवर (स्क्रीनसेवर)

सिस्टम: विंडोज
अधिकार: उपयोगकर्ता
विवरण: उपयोगकर्ता निष्क्रियता के एक निश्चित अवधि के बाद मैलवेयर लॉन्च करने के लिए स्क्रीन सेवर सेटिंग्स का उपयोग कर सकते हैं।
Windows स्क्रीनसेवर एप्लिकेशन (scrnsave.exe) C: \ Windows \ System32 में स्थित है, इसके साथ ही आधार OS असेंबली में शामिल अन्य स्क्रीनसेवर भी शामिल हैं। एक हमलावर रजिस्ट्री कुंजी HKEY_CURRENT_USER \ कंट्रोल पैनल \ डेस्कटॉप में स्प्लैश स्क्रीन मापदंडों में हेरफेर कर सकता है:

SCRNSAVE.EXE - दुर्भावनापूर्ण निष्पादन योग्य फ़ाइल के लिए पथ निर्दिष्ट करें;
ScreenSaveActivr - स्क्रीन सेवर को सक्रिय करने के लिए "1" का मान सेट करें;
ScreenSaverISSecure - मान को "0" पर सेट करें ताकि स्क्रीन सेवर को बंद करने के बाद सिस्टम को विंडोज डेस्कटॉप को अनलॉक करने के लिए पासवर्ड की आवश्यकता न हो;
स्क्रीनसेवरटाइमआउट - स्क्रीन सेवर शुरू करने से पहले निष्क्रियता की अवधि निर्धारित करें।

सुरक्षा सिफारिशें: * चलाने की क्षमता को ब्लॉक करें। गैर-मानक स्थानों से फ़ाइलें खोलें। समूह नीति का उपयोग करके अपनी स्क्रीनसेवर सेटिंग प्रबंधित करें, जो आपकी स्क्रीनसेवर सेटिंग्स में स्थानीय परिवर्तनों को प्रतिबंधित करता है।

सुरक्षा सहायता प्रदाता (SPP)

सिस्टम: विंडोज
अधिकार: प्रशासक
विवरण: हमलावर हर बार सिस्टम बूट होने पर दुर्भावनापूर्ण कोड को कॉन्फ़िगर कर सकते हैं या स्थानीय सुरक्षा प्राधिकरण (LSA) कॉन्फ़िगरेशन के लिए एक नकली सुरक्षा सहायता प्रदाता (SSP) जोड़कर AddSecurityPackage API फ़ंक्शन को कॉल किया जाता है। SSP - प्रोग्राम मॉड्यूल (DLL) जिसमें एक या अधिक प्रमाणीकरण और क्रिप्टोग्राफी योजनाएं होती हैं, जो सिस्टम स्टार्टअप पर LSASS प्रक्रिया में लोड होती हैं। एसपीपी डीएलएल के पास विंडोज में संग्रहीत एन्क्रिप्टेड और सादे पाठ पासवर्ड तक पहुंच है। SPP कॉन्फ़िगरेशन दो रजिस्ट्री कुंजियों में संग्रहीत है:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ Security Package ;
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ OSConfig \ Security Package ।

सुरक्षा सिफारिशें: विंडोज 8.1, विंडोज सर्वर आर 2 और ओएस के बाद के संस्करणों में, आपको एलएसए (प्रोसेस प्रोटेक्ट लाइट - पीपीएल) संरक्षित मोड को सक्रिय करना होगा, जिसमें सभी एसपीपी डीएलएल फाइलों को माइक्रोसॉफ्ट द्वारा डिजिटल रूप से हस्ताक्षरित किया जाना चाहिए:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL = dword: 00000001

सेवा रजिस्ट्री में कमजोरियाँ

सिस्टम: विंडोज
अधिकार: प्रशासक, प्रणाली
विवरण: यदि उपयोगकर्ताओं और समूहों की अनुमति विंडोज रजिस्ट्री में कुंजी के मूल्यों को बदलने की अनुमति देती है जहां सेवा पैरामीटर संग्रहीत हैं, तो हमलावर सीधे उन कुंजियों को संशोधित कर सकते हैं जो सेवाओं को लॉन्च करने के लिए निष्पादन योग्य फ़ाइलों के लिए पथ संग्रहीत करती हैं या विभिन्न सेवा प्रबंधन उपकरणों का उपयोग करती हैं - sc.exe, PowerShell या reg। हमलावर सेवा की विफलता से संबंधित मापदंडों को भी बदल सकते हैं, उदाहरण के लिए, FailureCommand, एक कमांड को इंगित करता है जिसे सेवा विफलता या जानबूझकर नुकसान की स्थिति में निष्पादित किया जाएगा। सेवा पैरामीटर HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ सेवाओं में संग्रहीत किए जाते हैं।

सुरक्षा सिफारिशें: सुनिश्चित करें कि संरक्षित प्रणाली के उपयोगकर्ता रजिस्ट्री में चाबियाँ नहीं बदल सकते हैं जो सिस्टम घटकों के मापदंडों को संग्रहीत करते हैं। संभावित खतरनाक सॉफ़्टवेयर को अवरुद्ध करने के सभी संभावित साधनों का उपयोग करें, उदाहरण के लिए, Windows AppLocker।

शॉर्टकट संशोधन

प्रणाली: विंडोज
अधिकार: उपयोगकर्ता, प्रशासक
विवरण: हमलावर वैध कार्यक्रमों के रूप में प्रच्छन्न नए शॉर्टकट और प्रतीकात्मक लिंक बना सकते हैं या मौजूदा शॉर्टकट में पथ को संशोधित कर सकते हैं ताकि उनके उपकरण मूल एप्लिकेशन के बजाय चलें।

सुरक्षा सिफारिशें: GPO का उपयोग करके प्रतीकात्मक लिंक बनाने के लिए, जैसे कि प्रशासक, उपयोगकर्ताओं और समूहों के अधिकारों को सीमित करें:
कंप्यूटर कॉन्फ़िगरेशन> [नीतियाँ]> विंडोज सेटिंग्स> सुरक्षा सेटिंग्स> स्थानीय नीतियाँ> उपयोगकर्ता अधिकार असाइनमेंट: प्रतीकात्मक लिंक बनाएँ।
संभावित खतरनाक सॉफ़्टवेयर और सॉफ़्टवेयर प्रतिबंध नीति को ब्लॉक करने के लिए उपकरणों का उपयोग करें।

स्टार्टअप आइटम

सिस्टम: macOS
राइट्स: एडमिनिस्ट्रेटर
विवरण: एक हमलावर अप्रचलित का उपयोग कर सकता है, लेकिन अभी भी macOS Sierra चला रहा है, बूट कोड पर रूट विशेषाधिकारों के साथ अपने कोड के लॉन्च को कॉन्फ़िगर करने के लिए StartupItems का उपयोग करके ऑटोस्टार्टिंग अनुप्रयोगों के लिए तंत्र। StartupItems एक निर्देशिका / लाइब्रेरी / Startupitems , एक कमांड स्क्रिप्ट और StartupParameters.plist गुण फ़ाइल है। स्क्रिप्ट और गुण फ़ाइल पदानुक्रम के शीर्ष पर होनी चाहिए: / लाइब्रेरी / स्टार्टअप / / [MyStartupItit] ।

सुरक्षा की सिफारिशें: चूंकि स्टार्टअपआईपेड्स तंत्र अप्रचलित है, इसलिए / लाइब्रेरी / स्टार्टअप / निर्देशिका में लिखने पर प्रतिबंध स्टार्टअप आइटम के निर्माण को रोक देगा।

सिस्टम फर्मवेयर

सिस्टम: विंडोज
राइट्स: एडमिनिस्ट्रेटर, सिस्टम
विवरण: विशेष रूप से परिष्कृत हमलावर दुर्भावनापूर्ण फर्मवेयर अपडेट स्थापित करने और उन्हें सिस्टम में ठीक करने की क्षमता प्रदान करने के लिए बायोस, यूआईएफआई या यूएफआई को संशोधित या संशोधित कर सकते हैं।

सुरक्षा की सिफारिशें: हमलावर वेक्टर को विशेषाधिकार प्राप्त खातों तक पहुंचने से रोकने के लिए निर्देशित करें जो वर्णित तकनीक को लागू करने के लिए आवश्यक हैं। अपने सिस्टम में विश्वसनीय प्लेटफॉर्म मॉड्यूल (टीपीएम) की आवश्यकता और प्रयोज्यता पर विचार करें । सिस्टम फर्मवेयर की सुरक्षा की निगरानी और विश्लेषण के लिए बाहरी उपकरणों का उपयोग करने की आवश्यकता पर विचार करें, उदाहरण के लिए, CHIPSEC फ्रेमवर्क ।

समय प्रदान करने वाले

सिस्टम: विंडोज
राइट्स: एडमिनिस्ट्रेटर, सिस्टम
विवरण: हमलावर टाइम प्रोवाइडर (टाइम प्रोवाइडर) के रूप में रजिस्टर कर सकते हैं जो दुर्भावनापूर्ण डीएलएल है जो सिस्टम के शुरू होने या विंडोज टाइम सर्वर (W32Time) के कॉन्फ़िगरेशन को बदलने पर अमल करेगा। समय प्रदाताओं के मापदंडों को रजिस्ट्री में संग्रहीत किया जाता है:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ TimeProviders ।
समय प्रदाता को पंजीकृत करने के लिए, आपको व्यवस्थापक अधिकारों की आवश्यकता होगी, लेकिन इसे स्थानीय सेवा खाते के संदर्भ में निष्पादित किया जाएगा।

सुरक्षा सिफारिशें:W32Time सेटिंग्स में अवरुद्ध परिवर्तनों को कॉन्फ़िगर करने के लिए GPO का उपयोग करने पर विचार करें। दुर्भावनापूर्ण DLL के डाउनलोड को अवरुद्ध करने के लिए सभी प्रकार के साधनों का उपयोग करें, उदाहरण के लिए, जो Windows AppLocker और DeviceGuard में बनाया गया है।

ट्रैप टीम

सिस्टम: लिनक्स, macOS
राइट्स: यूजर, एडमिनिस्ट्रेटर
विवरण: ट्रैप कमांड का उपयोग स्क्रिप्ट को रुकावट ( ctrl + c, ctrl + d, ctrl + z , आदि) से बचाने के लिए किया जाता है । यदि स्क्रिप्ट ट्रैप कमांड के तर्कों में निर्दिष्ट एक व्यवधान संकेत प्राप्त करता है, तो यह अपने आप ही रुकावट सिग्नल को संसाधित करता है, जबकि शेल इस तरह के सिग्नल को संसाधित नहीं करेगा। हमलावर कोड को पंजीकृत करने के लिए जाल का उपयोग कर सकते हैं जो कि शेल को कुछ रुकावट संकेतों को प्राप्त करने पर निष्पादित किया जाएगा।

सुरक्षा सिफारिशें:इस तकनीक का उपयोग रोकना मुश्किल है, क्योंकि हमलावर ओएस के मानक तंत्र का उपयोग करता है। सुरक्षा वेक्टर को हमले के पहले चरणों में दुर्भावनापूर्ण कार्यों को रोकने के उद्देश्य से होना चाहिए, उदाहरण के लिए, वितरण के चरण में या सिस्टम में एक दुर्भावनापूर्ण फ़ाइल का निर्माण।

वैध खाते

विवरण: हमलावर पहुँच क्रेडेंशियल्स का उपयोग करके किसी विशिष्ट उपयोगकर्ता या सेवा खाते की क्रेडेंशियल्स चुरा सकते हैं, सोशल इंजीनियरिंग का उपयोग करके खुफिया प्रक्रिया में क्रेडेंशियल्स पर कब्जा कर सकते हैं। समझौता किए गए क्रेडेंशियल्स का उपयोग एक्सेस कंट्रोल सिस्टम को बायपास करने के लिए किया जा सकता है और वीपीएन, ओडब्ल्यूए, रिमोट डेस्कटॉप जैसी दूरस्थ प्रणालियों और बाहरी सेवाओं तक पहुंच प्राप्त कर सकता है, या नेटवर्क के विशिष्ट सिस्टम और क्षेत्रों पर उन्नत विशेषाधिकार प्राप्त कर सकता है। यदि परिदृश्य सफल होता है, तो हमलावर मैलवेयर का पता लगाने से इंकार कर सकते हैं। इसके अलावा, हमलावर अन्य साधनों का उपयोग करने के असफल प्रयासों के मामले में बैकअप पहुंच बनाए रखने के लिए पूर्वनिर्धारित नाम और पासवर्ड का उपयोग करके खाते बना सकते हैं।

सुरक्षा सिफारिशें: एक पासवर्ड नीति लागू करें, सभी प्रशासनिक स्तरों पर विशेषाधिकार प्राप्त खातों के उपयोग को सीमित करने के लिए कॉर्पोरेट नेटवर्क के डिजाइन और प्रशासन के लिए सिफारिशों का पालन करें। उन लोगों की पहचान करने के लिए डोमेन और स्थानीय खातों और उनके अधिकारों की नियमित जांच जो एक हमलावर को व्यापक पहुंच प्राप्त करने की अनुमति दे सकते हैं। सिएम सिस्टम का उपयोग करके खाता गतिविधि की निगरानी करना।

वेब शेल

सिस्टम: विंडोज, लिनक्स, मैकओएस
विवरण: वेब शेल का उपयोग हमलावर द्वारा गेटवे के रूप में किया जा सकता है, जो आपके नेटवर्क पर हमला करने के लिए गेटवे के रूप में या अटैक किए गए सिस्टम तक पहुंच के लिए एक बैकअप तंत्र के रूप में, हमलावर नेटवर्क पर मुख्य एक्सेस चैनलों का पता लगाने और अवरुद्ध करने के लिए एक बैकअप तंत्र के रूप में उपयोग किया जा सकता है।

सुरक्षा सिफारिशें:सुनिश्चित करें कि आपके बाहरी वेब सर्वर नियमित रूप से अपडेट किए गए हैं और कोई ज्ञात भेद्यता नहीं है जो हमलावरों को बाद की निष्पादन के साथ एक फ़ाइल या स्क्रिप्ट को सर्वर पर अपलोड करने की अनुमति देता है। सत्यापित करें कि सर्वर प्रबंधन अधिकारों के साथ खातों और समूहों की अनुमतियाँ आंतरिक नेटवर्क पर खातों से मेल नहीं खातीं जिनका उपयोग वेब सर्वर में लॉग इन करने, वेब शेल लॉन्च करने या वेब सर्वर पर पिन करने के लिए किया जा सकता है। वेब शेल का पता लगाना कठिन है क्योंकि वे कनेक्शन शुरू नहीं करते हैं और उनका सर्वर साइड छोटा और हानिरहित हो सकता है, उदाहरण के लिए, चाइना चॉपर वेब शेल का PHP संस्करण एक लाइन की तरह दिखता है:
[? php eval ($ _POST ['पासवर्ड]];]]

विंडोज मैनेजमेंट इंस्ट्रूमेंटेशन इवेंट सब्सक्रिप्शन

सिस्टम: विंडोज
राइट्स: एडमिनिस्ट्रेटर, सिस्टम
विवरण: WMI इवेंट सब्सक्रिप्शन एक ऐसी कार्यक्षमता है जो व्यवस्थापक को इवेंट सूचनाओं की प्राप्ति को कॉन्फ़िगर करने की अनुमति देता है, जिसमें रिमोट सिस्टम पर होने वाले किसी भी कार्य का स्वचालित निष्पादन और उसके बाद एक स्क्रिप्ट, एप्लिकेशन चलाना शामिल है। आदि)। हमलावर, सिस्टम में एक पैर जमाने के लिए, सिस्टम की घड़ी या कंप्यूटर के ऑपरेटिंग समय जैसी घटनाओं के लिए एक सदस्यता स्थापित करके उपरोक्त कार्यक्षमता का दुरुपयोग कर सकते हैं, जिसके बाद कोड निष्पादन होता है।

सुरक्षा सिफारिशें:सुनिश्चित करें कि केवल व्यवस्थापक खातों को WMI से दूरस्थ रूप से कनेक्ट करने के अधिकार हैं, और संरक्षित सिस्टम में अन्य विशेषाधिकार प्राप्त खातों के साथ सिस्टम व्यवस्थापक खातों का कोई संयोग नहीं है। WMI को अक्षम करने से सिस्टम अस्थिरता पैदा कर सकता है, इसलिए, संभावित नकारात्मक परिणामों के प्रारंभिक मूल्यांकन की आवश्यकता होती है।

Winlogon हेल्पर DLL

सिस्टम: विंडोज
राइट्स: एडमिनिस्ट्रेटर, सिस्टम
विवरण: रजिस्ट्री में संशोधन करके Winlogon.exe द्वारा उपयोग किए जाने वाले सहायक DLL के मापदंडों को, हमलावर यह सुनिश्चित कर सकता है कि सिस्टम में फिक्सिंग के लिए दुर्भावनापूर्ण DLL को बार-बार निष्पादित किया जाता है। Winlogon मापदंडों को वर्गों में संग्रहीत किया जाता है:

• HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
• HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

कई कमजोर उपसमूह ज्ञात हैं:

Winlogon \ Notify - विंडोज घटनाओं को संभालने वाले DLL को निर्दिष्ट करता है
Winlogon \ Userinit - userinit.exe फ़ाइल को इंगित करता है, जब उपयोगकर्ता सिस्टम पर लॉग ऑन करता है, तो उपयोगकर्ता इनिशियलाइज़ेशन प्रोग्राम;
Winlogon \ Shell - explorer.exe फ़ाइल को इंगित करता है, सिस्टम शेल जो तब निष्पादित होता है जब उपयोगकर्ता सिस्टम पर लॉग करता है।

सुरक्षा सिफारिशें: सुनिश्चित करें कि केवल अधिकृत व्यवस्थापक ही Winlogon सेटिंग बदल सकते हैं। दुर्भावनापूर्ण DLL और संभावित रूप से खतरनाक कार्यक्रमों के डाउनलोड को अवरुद्ध करने के लिए सभी प्रकार के साधनों का उपयोग करें, उदाहरण के लिए, जो Windows AppLocker और DeviceGuard में बनाया गया है।

एडवांसरी टैक्टिक्स, तकनीक और सामान्य ज्ञान (ATT @ CK) सीखें। एंटरप्राइज टैक्टिक्स। भाग ३

SIP और ट्रस्ट प्रदाता अपहरण (SIP और ट्रस्ट प्रदाता) , विंडोज में सबवेर्टिंग ट्रस्ट

More articles: