Главная страница » MITRE ATT&CK
0
22 часа
MITRE ATT&CK

MITRE ATT&CK T1027.001 - Обфусцированные файлы или данные: Бинарная вставка

MITRE ATT&CK

Бинарная вставка - это добавление нежелательных данных к исходному бинарному файлу вредоносной программы для изменения ее представления на диске без изменения функциональности или поведения. Злоумышленники используют бинарную вставку для обхода некоторых сканеров безопасности, которые игнорируют файлы, размер которых превышает заданный, и избегают статического контроля на основе хэша.

Обфусцированные файлы или данные: Бинарная вставка

Злоумышленники используют бинарную вставку для манипуляций с дисковым представлением вредоносного ПО, внося элемент обфускации, который мешает обычным средствам защиты. Добавление посторонних или «нежелательных» данных в двоичный файл - распространенный метод бинарной вставки, который используется для преодоления ограничений на размер файла, накладываемых некоторыми средствами защиты, и для изменения контрольной суммы файла, что позволяет обойти хэш-блок-листы и статические антивирусные сигнатуры. Эти дополнительные данные не изменяют функциональность или поведение вредоносной программы, но увеличивают общий размер файла.

Некоторые решения для защиты имеют ограничения на максимальный размер файла, который они могут эффективно обрабатывать. Увеличение размера в результате бинарной вставки может сделать эти инструменты менее эффективными, заставляя их пропускать или неправильно обрабатывать большие файлы во время анализа. Многие современные «облачные» и локальные антивирусы и средства защиты от вредоносного ПО по умолчанию устанавливают для проверяемых файлов максимальный размер 25 МБ, 100 МБ, 120 МБ, 150 МБ и 200 МБ. Файлы, превышающие максимальный размер, не будут проверяться антивирусными и антивирусными средствами. Эти инструменты также позволяют пользователям изменять или удалять ограничения по размеру.

Кроме того, максимальный размер файлов, которые могут анализировать публичные службы сканирования файлов, также ограничен. Например, текущий лимит загрузки файлов на VirusTotal составляет 650 МБ.

Например, вредоносная программа Emotet использует 00-байтовую подложку для увеличения размера файла. Злоумышленники используют эту технику, чтобы раздуть DLL Emotet с 00 байтами в оверлее, увеличив PE-файл с 616 КБ до 548 МБ.

В другом примере OriginBotnet использует технику бинарной вставки для обхода защиты. Злоумышленники раздувают свой загрузчик до 400 МБ, добавляя нулевые байты.

Комментарии: 0
Похожие записи
0
22 часа
MITRE ATT&CK

MITRE ATT&CK T1027.004 - Обфусцированные файлы или данные: Компиляция после доставки

MITRE ATT&CK
Техника Компиляция после доставки (Compile After Delivery) предполагает доставку вредоносных файлов жертвам в виде некомпилируемого кода, что затрудняет обнаружение и анализ файлов.
0
22 часа
MITRE ATT&CK

MITRE ATT&CK T1027.003 - Обфусцированные файлы или данные: Стеганография

MITRE ATT&CK
Стеганография - это техника сокрытия секретных данных внутри несекретного файла или сообщения с целью избежать обнаружения. Таким образом, существование секретного сообщения зачастую трудно обнаружить.
0
22 часа
MITRE ATT&CK

MITRE ATT&CK T1027.002 - Обфусцированные файлы или данные: Упаковка программного обеспечения

MITRE ATT&CK
Упаковка программного обеспечения - это метод, сочетающий сжатие и шифрование программного обеспечения для уменьшения его размера и предотвращения обратного проектирования.
0
22 часа
MITRE ATT&CK

MITRE ATT&CK T1027 - Обфусцированные файлы или данные

MITRE ATT&CK
Сокрытие истинной природы вредоносных файлов и информации - один из самых распространенных приемов злоумышленников. Используя различные методы обфускации, злоумышленники делают свои инструменты и скрипты