แผนที่แนวทางปฏิบัติการรักษาความปลอดภัยทางไซเบอร์เชิงรุก
เครือข่าย
การสืบค้นและทำแผนที่เครือข่าย
การสืบค้นเครือข่ายเป็นการรวบรวมข้อมูลเกี่ยวกับเครือข่ายเป้าหมายเพื่อสร้างแผนที่โครงสร้างและอุปกรณ์ เทคนิคที่ใช้รวมถึงการรวบรวมข้อมูลผ่านอินเตอร์เน็ต การสแกน และการสรรหาเชิงรุกของส่วนประกอบเครือข่าย เครื่องมือเช่น Nmap และ Wireshark ถูกใช้ในการระบุพอร์ตที่เปิดอยู่ บริการ และช่องโหว่ที่เป็นไปได้ ใช้คำสั่งเช่น:
nmap -sS -O -v target-ip
คำสั่งนี้จะทำการสแกน TCP SYN และตรวจจับระบบปฏิบัติการของเป้าหมาย
กลยุทธ์การเคลื่อนที่ในแนวราบ
การเคลื่อนที่ในแนวราบหมายถึงเทคนิคที่ผู้โจมตีใช้ในการโยกย้ายผ่านเครือข่ายหลังจากเข้าถึงในครั้งแรก ซึ่งรวมถึงการเอาช่องโหว่ของส่วนเครือข่ายที่อยู่ใกล้เคียงและการใช้ข้อมูลรับรองที่ถูกโจมตีเพื่อเข้าถึงทรัพยากร ผู้โจมตีอาจใช้เครื่องมือเช่น PsExec หรือ PowerShell สำหรับการถ่ายโอนข้าม
การใช้ประโยชน์จากโปรโตคอลเครือข่าย
นี้รวมถึงการระบุจุดอ่อนในโปรโตคอลเครือข่ายเช่น SMB, RDP หรือ DNS และใช้เพื่อกระทำการโดยไม่ได้รับอนุญาต ความรู้เกี่ยวกับการทำงานของโปรโตคอลและการสร้างความผิดปกติสามารถนำไปสู่การใช้ประโยชน์ที่ประสบความสำเร็จ
เทคนิคการโจมตีสื่อกลาง (MitM)
การโจมตี MitM เกี่ยวกับการดักจับและเปลี่ยนแปลงการสื่อสารระหว่างสองฝ่ายโดยไม่ถูกตรวจจับ เทคนิคอาจรวมถึงการหลอกลวง ARP หรือการวางยาพิษ DNS ผู้โจมตีมักใช้เครื่องมือเช่น Ettercap และ MITMf ในการจับและจัดการการจราจร
การวิเคราะห์และปรับเปลี่ยนการจราจรเครือข่าย
การวิเคราะห์การจราจรเกี่ยวข้องกับการตรวจสอบแพ็กเก็ตข้อมูลเครือข่ายเพื่อระบุรูปแบบหรือลักษณะผิดปกติ ผู้โจมตีอาจเบี่ยงเบน, ทิ้ง, หรือแทรกแพ็กเก็ตเพื่อขัดจังหวะหรือแยกการสื่อสาร เครื่องมือเช่น Tcpdump และ Scapy นิยมใช้สำหรับวัตถุประสงค์เหล่านี้
เว็บแอปพลิเคชัน
การโจมตีการฉีดขั้นสูง (SQLi, NoSQLi)
การฉีด SQL เกี่ยวข้องกับการแทรกโค้ด SQL ที่เป็นอันตรายในช่องป้อนข้อมูลของผู้ใช้เพื่อจัดการหรือดึงข้อมูลจากฐานข้อมูล หลักการนี้ขยายไปยังฐานข้อมูล NoSQL ด้วย NoSQLi SQLmap เป็นเครื่องมือที่ใช้สำหรับการฉีด SQL และการยึดฐานข้อมูลแบบอัตโนมัติ:
sqlmap -u "http://target.com/search?q=test" --dbs
คำสั่งนี้พยายามดึงชื่อฐานข้อมูลจาก URL เป้าหมาย
การโจมตี XSS และการใช้ประโยชน์จาก CSRF
XSS ช่วยให้ผู้โจมตีสามารถแทรกสคริปต์ในเว็บเพจที่ผู้ใช้อื่นเห็น ซึ่งทำให้เกิดการยึดเซสชันหรือการขโมยข้อมูล CSRF หลอกให้ผู้ใช้ทำการกระทำที่ไม่พึงประสงค์บนไซต์อื่นที่พวกเขาได้รับการรับรองแล้ว
ตัวอ้างอิงวัตถุโดยตรงที่ไม่ปลอดภัย (IDOR) และ BOLAs
ช่องโหว่ IDOR ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลโดยการจัดการการอ้างอิงไปยังวัตถุ (เช่น รหัสผู้ใช้) การอนุญาตในระดับวัตถุที่เสีย (BOLAs) เกี่ยวข้องกับการบังคับใช้ที่ไม่เหมาะสมของการควบคุมการเข้าถึงเหนือวัตถุแต่ละชิ้น
กลเม็ดตามเว็บเชลล์และการติดต่อระยะยาว
ติดตั้งเว็บเชลล์บนเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อความต่อเนื่องและการดำเนินงานคำสั่งระยะไกล เว็บเชลล์เป็นสคริปต์ง่ายๆ ที่ให้อินเทอร์เฟซผ่าน HTTP
<?php system($_GET['cmd']); ?>
ตัวอย่างเว็บเชลล์ PHP อย่างง่าย
การเลี่ยงผ่านไฟร์วอลล์เว็บแอปพลิเคชัน
การเลี่ยงผ่าน WAF เกี่ยวข้องกับการสร้างเพย์โหลดที่ข้ามการตรวจจับที่ใช้ลายเซ็น เทคนิคอาจรวมถึงการเข้ารหัส, การทำให้สับสน, หรือการแยกส่วนของเวกเตอร์การโจมตี
แอปพลิเคชันมือถือ
วิศวกรรมย้อนกลับแอปพลิเคชันมือถือ
วิศวกรรมย้อนกลับเกี่ยวข้องกับการถอดรหัสและการวิเคราะห์โค้ดของแอปพลิเคชันมือถือเพื่อทำความเข้าใจตรรกะและระบุช่องโหว่ เครื่องมือเช่น APKTool หรือ Hopper มีความสำคัญในการประกอบหรือการแยกส่วน
การใช้ประโยชน์จากช่องโหว่แพลตฟอร์มมือถือ
แต่ละแพลตฟอร์มมือถือ (เช่น Android, iOS) มีช่องโหว่เฉพาะ การโจมตีอาจเกี่ยวข้องกับการใช้สิทธิ์ของระบบหรือไลบรารีที่ล้าสมัย
การดักจับและจัดการการสื่อสารของมือถือ
ผู้โจมตีใช้เครื่องมือเช่น Burp Suite หรือ Frida เพื่อดักจับและจัดการข้อมูลที่ส่งโดยแอปพลิเคชันมือถือตั
วอันดับที่สำคัญโดยเฉพาะเมื่อมีการใช้ SSL/TLS ที่อ่อนแอหรือมีการกำหนดค่าผิด
การละเมิดความปลอดภัยของข้อมูลในแอปพลิเคชันมือถือ
การกำหนดเป้าหมายวิธีการจัดเก็บข้อมูลที่ไม่ปลอดภัยหรือวิธีการส่งข้อมูลที่ใช้โดยแอปพลิเคชันมือถือ ที่ซึ่งข้อมูลที่มีความละเอียดอ่อนถูกจัดเก็บหรือสื่อสารโดยไม่ได้รับการเข้ารหัสที่เพียงพอ
ห่วงโซ่อุปทาน
การโจมตีสายการพัฒนาและการจัดส่ง
การบุกรุกสายการพัฒนาสามารถนำไปสู่การกระจายของโค้ดที่เป็นอันตรายอย่างกว้างขวาง ผู้โจมตีโจมตีที่แหล่งเก็บโค้ดหรือสภาพแวดล้อม CI/CD เพื่อแทรกประตูหลัง
การทดสอบความปลอดภัยของระบบฝังตัว
มุ่งเน้นไปที่การระบุช่องโหว่ในเฟิร์มแวร์หรือซอฟต์แวร์ของอุปกรณ์ฝังตัว การทดสอบมักรวมถึงอินเทอร์เฟซฮาร์ดแวร์เช่น JTAG หรือ UART
เทคนิคการโจมตีห่วงโซ่อุปทาน
การแทรกส่วนประกอบที่เป็นอันตรายภายในห่วงโซ่อุปทานของผลิตภัณฑ์ทำลายความสมบูรณ์ก่อนที่จะถึงผู้ใช้ปลายทาง กรณีที่น่าสังเกตรวมถึงชิ้นส่วนฮาร์ดแวร์ฝังตัวหรือไฟล์การอัปเดตที่ถูกดัดแปลง
การแฝงประตูหลังในซอฟต์แวร์บุคคลที่สาม
การแนะนำโค้ดที่ซ่อนอยู่และไม่ได้รับอนุญาตในผลิตภัณฑ์ซอฟต์แวร์ที่จัดส่งโดยผู้ขายบุคคลที่สามในระหว่างการพัฒนา ทั้งเจตนาหรือผ่านการแสวงหาผลประโยชน์
CI/CD
การบุกรุกสภาพแวดล้อม CI/CD
การเข้าถึงสภาพแวดล้อม CI/CD โดยไม่ได้รับอนุญาตให้อำนาจในการเปลี่ยนแปลงกระบวนการสร้างซอฟต์แวร์ ซึ่งอาจแทรกโค้ดที่เป็นอันตรายก่อนการปรับใช้
การบุกเข้าไปในสายการผลิต
ผู้โจมตีสกัดกั้นหรือแก้ไขวัตถุที่สร้างขึ้น ซึ่งนำไปสู่การจัดจำหน่ายซอฟต์แวร์ที่ถูกบุกรุก ช่องโหว่ในสคริปต์การสร้างหรือการพึ่งพามักถูกใช้ประโยชน์
การทุจริตสิ่งประดิษฐ์และการละเมิดความสมบูรณ์
การแก้ไขสิ่งประดิษฐ์การสร้างโดยไม่ตรวจพบสามารถเปลี่ยนแปลงการทำงานที่ตั้งใจไว้ของซอฟต์แวร์ การรักษาความสมบูรณ์ของสิ่งประดิษฐ์เป็นเรื่องสำคัญที่ต้องพึ่งพา checksums หรือลายเซ็นดิจิทัล
การใช้ประโยชน์จากช่องโหว่ในเครื่องมือ CI/CD
ช่องโหว่ที่ทราบในเครื่องมือ CI/CD เช่น Jenkins หรือ GitLab สามารถถูกโจมตีเพื่อการเข้าถึงและการเปลี่ยนแปลงโค้ดโดยไม่ได้รับอนุญาต
คลาวด์
เทคนิคการโจมตีบริการคลาวด์
การใช้ประโยชน์จากการกำหนดค่าผิดหรือช่องโหว่ในบริการคลาวด์เพื่อให้ได้การเข้าถึงหรือควบคุมทรัพยากรคลาวด์ที่จัดการอย่างไม่ได้รับอนุญาต
การโจมตีที่ระบบเก็บข้อมูลบนคลาวด์ที่กำหนดค่าผิด
การโจมตีบริการเก็บข้อมูลที่เปิดเผยเช่น AWS S3 buckets เนื่องจากการควบคุมความปลอดภัยที่ไม่เพียงพอเช่นการเขียนหรือการอ่านสาธารณะ
การหลีกเลี่ยงการจัดการตัวต
นและการเข้าถึงบนคลาวด์
การได้การเข้าถึงที่ไม่ได้รับอนุญาตต่อสินทรัพย์บนคลาวด์โดยใช้ประโยชน์จากนโยบาย IAM ที่อ่อนแอหรือบทบาทที่่อนมากเกินไป
เวกเตอร์การโจมตีของสถาปัตยกรรมที่ไม่มีเซิร์ฟเวอร์
การใช้ประโยชน์จากช่องโหว่ในเฟรมเวิร์กที่ไม่มีเซิร์ฟเวอร์โดยการใช้อีเวนต์ทริกเกอร์หรือแทรกเพย์โหลดที่เป็นอันตรายในบริบทการดำเนินการของฟังก์ชัน
คอนเทนเนอร์
เทคนิคการหลบหนีจากคอนเทนเนอร์
การระบุและใช้ประโยชน์จากช่องโหว่ที่อนุญาตให้โค้ดที่เป็นอันตรายหนีออกจากสภาพแวดล้อมของคอนเทนเนอร์เข้าสู่ระบบโฮสต์
การโจมตีคลัสเตอร์ Kubernetes
การใช้ช่องโหว่ในการกำหนดค่าภายในสภาพแวดล้อม Kubernetes เพื่อให้ได้การควบคุมที่ไม่ได้รับอนุญาตหรือขัดจังหวะการบริการ
การใช้ประโยชน์จากช่องโหว่ของการจัดการคอนเทนเนอร์
การโจมตีช่องโหว่ในเครื่องมือจัดการ เช่น Docker Swarm หรือ Kubernetes เพื่อเข้าสู่สภาพแวดล้อมที่ถูกจำกัด
การวางยาพิษในภาพคอนเทนเนอร์
การทำให้ภาพคอนเทนเนอร์เปื้อนโดยการแทรกโค้ดที่เป็นอันตราย ส่งผลกระทบต่อระบบที่มีการปรับใช้ภาพเหล่านี้
API
การสำรวจและสืบค้นปลายทาง API
การระบุปลายทาง API และการทำแผนที่โครงสร้างเพื่อกำหนดทรัพยากรที่พร้อมใช้งานและช่องโหว่ที่เป็นไปได้
การหลบหลีกการรับรองความถูกต้องและการอนุญาตของ API
การใช้ประโยชน์จากช่องโหว่ที่อนุญาตให้เลี่ยงผ่านเลเยอร์การรับรองความถูกต้อง หรือตรวจสอบการอนุญาตที่ไม่เหมาะสม
การละเมิดข้อจำกัดและโควต้า
การข้ามข้อจำกัดเพื่อล้น API หรือตักตวงข้อมูลมากกว่าความตั้งใจโดยการจัดการหัวข้อหรือเพย์โหลดคำขอ
การใช้ประโยชน์จากช่องโหว่ของ API REST และ SOAP
การกำหนดเป้าหมาย API เฉพาะผ่านการฉีด การโจมตีการยกเลิกการทำ และการใช้ประโยชน์จากการแสดงข้อผิดพลาดแบบละเอียดอ่อน
ฮาร์ดแวร์
การโจมตีอินเทอร์เฟซฮาร์ดแวร์
การจัดการหรือเข้าถึงอินเทอร์เฟซฮาร์ดแวร์เพื่อดึงข้อมูลที่ละเอียดอ่อนหรือปรับเปลี่ยนการดำเนินงานของอุปกรณ์
การโจมตีด้านอุปกรณ์ฮาร์ดแวร์
การใช้ประโยชน์จากการแสดงผลแม่เหล็กไฟฟ้า การวิเคราะห์การใช้พลังงาน หรือตัวบ่งชี้เวลาเพื่อนำมาซึ่งการดำเนินงานของอุปกรณ์หรือดึงข้อมูลที่ละเอียดอ่อน
การเจาะเข้าอุปกรณ์ฝังตัว
การเข้าถึงอุปกรณ์ฝังตัวแบบไม่มีใครรู้เห็นได้ผ่านช่องโหว่ในเฟิร์มแวร์หรืออินเทอร์เฟซการสื่อสารภายนอก
การย้อนกลับเฟิร์มแวร์ของฮาร์ดแวร์
การวิเคราะห์เฟิร์มแวร์ของอุปกรณ์ฮาร์ดแวร์เพื่อระบุช่องโหว่หรือทำความเข้าใจการทำงานของอุปกรณ์ผ่านวิศวกรรมย้อนกลับ
ไร้สาย
การโจมตีเครือข่ายไร้สาย (Wi-Fi, บลูทูธ)
การใช้ประโยชน์จากโปรโตคอล Wi-Fi ที่อ่อนแอ (WEP/WPA2) หรือการกำหนดค่าผิดของบลูทูธเพื่อดักฟังและจัดการการสื่อสารไร้สาย
การติดตั้งจุดเชื่อมต่อที่ไม่ปลอดภัย
การติดตั้งจุดเชื่อมต่อที่ไม่ได้รับอนุญาตเพื่อดักฟังการสื่อสารไร้สาย เทคนิคที่ใช้บ่อยในการหลอกลวงหรือขโมยข้อมูลการเข้าถึง
การดักฟังการสื่อสารไร้สาย
การฟังการสื่อสารที่ไม่ได้เข้ารหัสในเครือข่ายไร้สายเพื่อจับข้อมูลที่ละเอียดอ่อนเช่นรหัสผ่าน
การใช้ประโยชน์จากโปรโตคอลไร้สาย
การใช้ประโยชน์จากจุดอ่อนในโปรโตคอลเช่น Zigbee หรือ Bluetooth Low Energy (BLE) เพื่อควบคุมหรือสอดแนมการสื่อสารของอุปกรณ์
การโจมตีความปลอดภัยทางกายภาพ
วิศวกรรมสังคมและการแทรกซึมทางกายภาพ
การใช้การหลอกลวงในการข้ามมาตรการความปลอดภัยทางกายภาพ ซึ่งรวมถึงการแอบอ้างหรือการปลอมแปลงข้อมูลเพื่อให้ได้การเข้าถึงที่ไม่ได้รับอนุญาตเข้าสู่สถานที่
การข้ามการควบคุมการเข้าถึงทางกายภาพ
การข้ามสิ่งกีดขวางเช่นกุญแจหรือระบบไบโอเมทริกซ์ผ่านเทคนิคต่างๆ เช่น การโจรกรรมกุญแจหรือการโจมตีแบบรีเลย์
การสกัดข้อมูลจากชั้นทางกายภาพ
การดึงข้อมูลผ่านวิธีการทางกายภาพ เช่น การคัดลอกข้อมูลจากฮาร์ดไดรฟ์ที่เปิดอยู่หรือการดักฟังสัญญาณแม่เหล็กไฟฟ้า
วิธีการประเมินความปลอดภัยทางกายภาพ
เทคนิคการจำลองเพื่อประเมินช่องโหว่ในระบบความปลอดภัยทางกายภาพ รวมถึงการทดสอบการแทรกซึมของสถานที่
การใช้โปรโตคอลเข้ารหัส
การโจมตีโปรโตคอลเข้ารหัส
การใช้ประโยชน์จากช่องโหว่ในโปรโตคอลเข้ารหัส ที่นำไปสู่การถอดรหัสข้อมูล การข้ามการรับรองความถูกต้อง หรือการแอบอ้างตัวบุคคล
เทคนิคการวิเคราะห์เข้ารหัส
เทคนิคที่ใช้การวิเคราะห์ทางคณิตศาสตร์และระบบเพื่อคาดเดาความปลอดภัยในการเข้ารหัส รวมทั้งการทำลายการเข้ารหัส
การละเมิดการจัดการคีย์
การโจมตีการจัดการคีย์ที่ไม่เหมาะสมที่นำไปสู่การเปิดเผยคีย์ที่ไม่ได้รับอนุญาตและการถอดรหัสข้อมูล
การถอดรหัสการเข้ารหัสแบบสมมาตรและอสมมาตร
การหาจุดอ่อนหรือใช้ประโยชน์จากข้อบกพร่องในการดำเนินงานเพื่อถอดรหัสข้อมูลโดยไม่มีการครอบครองคีย์ ตัวอย่างเช่นการโจมตี AES หรือ RSA
การพัฒนาแสวงหาผลประโยชน์
การระบุโอกาสในการแสวงหาผลประโยชน์ช่องโหว่
การวิจัยและค้นหาช่องโหว่ในซอฟต์แวร์หรือฮาร์ดแวร์ที่สามารถแสวงหาผลประโยชน์ได้ มุ่งเน้นไปที่จุดเข้าในอินพุตที่ไม่ได้รับการคุ้มครองหรือการดำเนินงานที่ไม่ถูกตรวจสอบ
เทคนิคการควบคุมหน่วยความจำขั้นสูง
ใช้การอ่อนแอในการดำเนินงานของหน่วยความจำเพื่อให้โค้ดรันตามต้องการ รวมทั้งการโยนบัฟเฟอร์ล้นและใช้ประโยชน์หลังจากการปิดไปฟรี
การออกแบบและจัดส่งเชลล์โค้ด
การออกแบบและแทรกเชลล์โค้ดเป็นเพย์โหลดเพื่อดำเนินคำสั่งที่เป็นอันตรายในระบบเป้าหมาย
การใช้เฟรมเวิร์กแสวงหาผลประโยชน์
การใช้เครื่องมือเช่น Metasploit เพื่อช่วยในการพัฒนาแสวงหาผลประโยชน์และจัดการเวกเตอร์การโจมตีผ่านโมดูลที่สามารถกำหนดค่าได้สำหรับเป้าหมายที่แตกต่างกัน
ทีมแดง
การวางแผนและดำเนินการของทีมแดง
การทีมแดงเกี่ยวกับการจำลองภัยคุกคามแบบควบคุณามาตรฐาน (APT) เพื่อประเมินมาตรการป้องกันขององค์กร การวางแผนมุ่งเน้นไปที่การบรรลุยุทธวิธี เทคนิค และกระบวนการเฉพาะ (TTPs)
การตั้งค่าโครงสร้างพื้นฐานและเครื่องมือของทีมแดง
การสร้างโครงสร้างพื้นฐานที่มั่นคงและยืดหยุ่นสำหรับการดำเนินงานของทีมแดง ที่มุ่งเน้นไปที่ระบบคำสั่งและการควบคุม (C2) และเครื่องมือโจมตี
แคมเปญการโจมตีหลายขั้นตอน
แคมเปญที่ประสานกันเลียนแบบผู้โจมตีจริง ที่รวมขั้นตอนหลายขั้นตอ
น เช่น การสืบค้น การแสวงหาผลประโยชน์ และการเคลื่อนที่ในแนวราบ
การจำลองและเลียนแบบของฝ่ายตรงข้าม
การจำลองยุทธวิธีจริงที่ใช้โดยผู้คุกคามที่มีความก้าวหน้าเพื่อตรวจสอบการป้องกันขององค์กรและระบุพื้นที่ที่ต้องปรับปรุง
การหลีกเลี่ยง
การละเว้นการตรวจจับของเครือข่ายและที่สิ้นสุด
การใช้ยุทธวิธีเพื่อหลีกเลี่ยงการตรวจจับโดย IDS/IPS และโซลูชันความปลอดภัยที่สิ้นสุด ผ่านการซ่อนแอนตี้ไวรัสหรือการใช้ประโยชน์จากช่องว่างการตรวจจับ
การป้องกันตรวจสอบและการปรับปรุงหลักฐาน
เทคนิคที่ออกแบบมาเพื่อขัดขวางการวิเคราะห์ทางนิติวิทยาศาสตร์หรือการลบล้างเส้นทางหลักฐาน เป็นสิ่งสำคัญในการดำเนินการอย่างลับๆ
เทคนิคการทำให้สับสนและการเข้ารหัส
การปิดบังเพย์โหลดหรือการสื่อสารผ่านการทำให้สับสนหรือการเข้ารหัสหลายชั้นเพื่อหลีกเลี่ยงมาตรการความปลอดภัยและการวิเคราะห์
การเลี่ยงผ่านฮันนี่พอทและซานบ็อกซ์
การตรวจจับและหลีกเลี่ยงการมีปฏิสัมพันธ์กับระบบล่อเช่นฮันนี่พอทหรือซานบ็อกซ์ที่มุ่งเน้นการจับกิจกรรมที่เป็นอันตราย
การพัฒนาแอนตี้ไวรัส
การออกแบบและจัดส่งเพย์โหลดที่กำหนดเอง
การสร้างเพย์โหลดที่ปรับแต่ง มักมุ่งเป้าหมายสภาพแวดล้อมเฉพาะหรือเลี่ยงผ่านการป้องกันที่มีอยู่ โดยเน้นความลับและการทำงาน
เทคนิคการหลีกเลี่ยงและความต่อเนื่องของแอนตี้ไวรัส
การทำแอนตี้ไวรัสให้ความต่อเนื่องบนระบบหลังจากถูกละเมิดและหลีกเลี่ยงการตรวจจับผ่านการทำให้สับสนหรือลดความแข็งแกร่งของการป้องกันโฮสต์
การพัฒนาและการจัดการของโครงสร้างพื้นฐาน C2
การสร้างและจัดการโครงสร้างพื้นฐานคำสั่งและการควบคุมเพื่อรักษาการเข้าถึงระบบที่ถูกละเมิดอย่างอิสระ ซึ่งเป็นสิ่งสำคัญสำหรับผู้ใช้ที่เป็นภัยคุกคามที่ต่อเนื่อง
วิธีการหลีกเลี่ยงแอนตี้มัลแวร์
ความพยายามที่จะข้ามการตรวจจับแอนตี้มัลแวร์แบบอัตโนมัติด้วยการใช้เทคนิคการหลีกเลี่ยงเช่นการปรับเปลี่ยนลายเซ็นหรือการปรับเปลี่ยนพฤติกรรม
ซอฟต์แวร์
เทคนิคการแฝงประตูหลังในซอฟต์แวร์
การสร้างจุดเข้าถึงซ่อนในโค้ดซอฟต์แวร์เพื่อการเข้าถึงที่ไม่ได้รับอนุญาต มักผ่านการแก้ไขโค้ดที่เป็น opensource หรือเป็นกรรมสิทธิ์
การจัดการตรรกะของแอปพลิเคชัน
ใช้ประโยชน์จากข้อผิดพลาดในตรรกะทางธุรกิจหรือการไหลของแอปพลิเคชันเพื่อดำเนินการที่ไม่ได้ตั้งใจหรือดึงข้อมูลอย่างไม่เหมาะสม
เทคนิคขั้นสูงของวิศวกรรมย้อนกลับ
การวิเคราะห์เชิงลึกในการทำงานของซอฟต์แวร์โดยใช้เครื่องมือเช่น IDA Pro หรือ Ghidra เพื่อเผยแพร่ตรรกะภายในหรือช่องโหว่ในระบบที่ปิด
การแทรกโค้ดและการเชื่อมโยง
การแทรกโค้ดที่เป็นอันตรายในกระบวนการที่กำลังทำงานหรือการสกัดกั้นขั้นตอนการทำงานของแอปพลิเคชันผ่านเทคนิคการเชื่อมโยง มักใช้สำหรับความยกระดับสิทธิ์