Антивирусы и другие средства защиты часто ищут индикаторы или артефакты вредоносного ПО, чтобы выявить и поместить в карантин вредоносные инструменты. В ответ злоумышленники модифицируют свои инструменты, удаляя характерные индикаторы, которые привели к их обнаружению, и они становятся необнаружимыми для средств защиты объекта. В системе MITRE ATT&CK этот метод классифицируется как «Удаление индикаторов из инструментов».
Обфусцированные файлы или данные: Удаление индикаторов из инструментов
Злоумышленники используют технику «Удаление индикаторов из инструментов» для удаления или изменения идентифицируемых признаков вредоносного ПО, таких как модификация сигнатуры файла, обфускация шаблонов кода или изменение используемых методов шифрования. Новая версия вредоносной программы вновь внедряется в целевую среду со значительно сниженным риском быть обнаруженной и нейтрализованной защитными системами.
Типичным примером такой техники является изменение сигнатур файлов вредоносного ПО. Предположим, что атакующий понял, что вредоносная программа была обнаружена по сигнатуре файла. Тогда атакующий модифицирует файл, чтобы избежать этой сигнатуры, и использует обновленную версию в последующих атаках. Например, некоторые злоумышленники используют метод hashbusting для обфускации вредоносного ПО, незаметно изменяя его на лету. Таким образом, каждый образец имеет свою контрольную сумму.
Банковский троян Qakbot использует этот метод, чтобы сделать хэш SHA256 каждой полезной нагрузки, загружаемой с серверов C2, уникальным.
Злоумышленники также обфусцируют имена переменных, используемых в исполняемом файле, чтобы избежать обнаружения с помощью анализа строк. Например, вредоносная программа Vidar infostealer использует обфусцированные строки стека в своих исполняемых файлах.