در جریان بررسیهای تکمیلی انجامشده پس از مهار اولیه حادثه، تیم پاسخگویی متوجه نشانههایی از پایداری عمیق و وابسته به رفتار سیستم عامل میشود. شواهد نشان میدهد که نفوذگر از روشهایی استفاده کرده که نه بر اساس زمانبندی یا اجرای مستقیم، بلکه با واکنش به رویدادهای طبیعی سیستم فعال میشوند.
این نوع پایداری به مهاجم اجازه میدهد بدون نیاز به اجرای دستی یا ارتباط مستقیم، با هر بار وقوع یک رویداد مشخص در سیستم، مجدداً دسترسی خود را بازیابی کند.
تمامی روشهای استفادهشده در این سناریو، زیرمجموعهای از یک تکنیک مشخص در فریمورک MITRE ATT&CK هستند که بر اجرای کد در پاسخ به وقوع رویدادهای خاص تمرکز دارد.
شما باید با بررسی رفتار سیستم، تغییرات پیکربندی و فایلهای ایجادشده، روشهای مختلف و منطق فعالسازی هر روش را درک نماید.
درصد پیشرفت حل چالش
0%
