Техника Компиляция после доставки (Compile After Delivery) предполагает доставку вредоносных файлов жертвам в виде некомпилируемого кода, что затрудняет обнаружение и анализ файлов. Вредоносная полезная нагрузка в виде текстовых файлов с исходным кодом может обойти защиту, направленную на исполняемые/бинарные файлы. Перед выполнением эти полезные нагрузки должны быть скомпилированы, как правило, с помощью собственных утилит, таких как csc.exe или GCC/MinGW.
Обфусцированные файлы или данные: Компиляция после доставки
Злоумышленники используют технику Compile After Delivery, чтобы скрыть свой злой умысел, предоставляя полезную нагрузку в виде некомпилированного исходного кода. Поскольку средства защиты рассчитаны на исполняемые двоичные файлы, текстовые файлы исходного кода часто остаются незамеченными. Злоумышленники часто используют встроенные утилиты, такие как csc.exe или GCC/MinGW, для компиляции исходного кода в исполняемые двоичные файлы. Такой отложенный процесс компиляции усложняет обнаружение и анализ полезной нагрузки, поскольку вредоносные компоненты обнаруживаются только после компиляции и выполнения кода на системе жертвы. Чтобы еще больше усложнить анализ и избежать обнаружения, злоумышленники могут также шифровать, кодировать или встраивать полезную нагрузку в виде исходного кода в другие файлы.
Злоумышленники используют присущее определенным форматам файлов доверие, доставляя полезную нагрузку в форматах, которые не распознаются или считаются доброкачественными в родной операционной системе. Например, передача файлов EXE в macOS или Linux, которые традиционно ассоциируются с исполняемыми файлами Windows, может обмануть пользователей и системы безопасности, создав у них ложное ощущение безопасности. Затем злоумышленник включает в комплект поставки компилятор и фреймворк для (пере)компиляции исходного кода в правильный исполняемый двоичный файл. Такой способ маскировки полезной нагрузки в неприметном формате с последующим преобразованием ее в узнаваемый исполняемый файл еще больше усложняет идентификацию вредоносного намерения.
Иранская группа под названием Imperial Kitten развертывает вредоносную программу-загрузчик под названием IMAPLoader, используя технику «компиляции после доставки». После первоначального доступа через вредоносный документ Excel на диск записывается файл исходного кода C# с именем source.cs. Затем злоумышленники компилировали исходный код во вредоносную программу IMAPLoader с помощью штатного компилятора C# csc.exe.
Вредоносная программа ProxyShellMiner также использует csc.exe с параметрами компиляции InMemory для выполнения модулей встроенного кода.