Когда вредоносная программа распространяется вместе с установочным файлом, пользователю сложно заметить, что она выполняется одновременно с ним. Кроме того, сигнатурные средства защиты от вредоносного ПО затрудняются обнаружить его из-за того, что оно работает в безфайловом формате, будучи внедренным в обычную программу.
Атакующий загрузил дополнительное вредоносное ПО и использовал обычный процесс Powershell.exe для осуществления вредоносного поведения, выполнив инъекцию в обычную программу Notepad (notepad.exe).
Создатель вредоносной программы выполняет обычную установку, чтобы затруднить обнаружение вредоносной программы пользователями, и либо разрабатывает вариант, позволяющий обойти сигнатурное обнаружение, либо осуществляет заражение через обычный процесс, используя безфайловый формат. Однако EDR обнаруживает такое подозрительное поведение и предоставляет пользователям четкую блок-схему угроз.
Indicators of Compromise
MD5
- 10298c1ddae73915eb904312d2c6007d
- 1906bf1a2c96e49bd8eba29cf430435f
- 23f72ee555afcd235c0c8639f282f3c6
- 27a24461bd082ec60596abbad23e59f2
- 499f0d42d5e7e121d9a751b3aac2e3f8
- 5eb6821057c28fd53b277bc7c6a17465
- 70257b502f6db70e0c75f03e750dca64
- 73f83322fce3ef38b816bef8fa28d37b
- 95dac8965620e69e51a1dbdf7ebbf53a
- b4481eef767661e9c9524d94d808dcb6
- b66f351c35212c7a265272d27aa09656
- e84750393483bbb32a46ca5a6a9d253c
- ea20d797c0046441c8f8e76be665e882
- eefbc5ec539282ad47af52c81979edb3
