Defense Evasion (уклонение от защиты) - это тактика кибербезопасности, включающая совокупность методов и техник, которые злоумышленники используют для того, чтобы избежать обнаружения системами безопасности, обойти защитные механизмы и сохранить своё присутствие в скомпрометированной среде. Её основная цель заключается в минимизации следов активности, маскировке вредоносных действий под легитимные процессы и нейтрализации возможностей защитных решений по выявлению угроз.
Эта тактика проявляется на различных уровнях атаки и часто переплетается с другими этапами компрометации. Техники уклонения включают манипуляции с вредоносным кодом, такие как обфускация и шифрование, чтобы затруднить анализ сигнатурными антивирусами. Для скрытия присутствия применяются методы маскировки под доверенные системные процессы или легитимное программное обеспечение. Важным направлением является работа с журналами и данными мониторинга: злоумышленники могут останавливать службы логирования, целенаправленно очищать журналы событий или модифицировать их для удаления записей о своей активности.
Для обхода конкретных защитных технологий используются более специализированные методы. Например, для противодействия песочницам и средствам динамического анализа вредоносное ПО может отслеживать признаки виртуализации, определять наличие мыши или просто выжидать длительное время перед выполнением, чтобы анализ не успел зафиксировать его поведение. Уклонение от систем контроля приложений и механизмов контроля целостности достигается путём использования доверенных сертификатов для подписи вредоносного кода, эксплуатации легитимных инструментов администрирования или внедрения в живые процессы системы без создания файлов на диске.
Таким образом, тактика уклонения от защиты представляет собой непрерывную адаптацию атакующих к развивающимся защитным мерам. Она делает обнаружение атак более сложным и требует от защитников многоуровневого подхода, включающего поведенческий анализ, мониторинг целостности, аудит привилегированных операций и использование технологий, способных выявлять несоответствия в поведении даже легитимных процессов и инструментов.
