Полезная нагрузка - это общий термин для обозначения вредоносного компонента, предназначенного для выполнения определенного действия, такого как эксплуатация уязвимости или шифрование конфиденциальных файлов. Злоумышленники скрывают свою полезную нагрузку в других данных или коде, что затрудняет обнаружение и устранение угрозы средствами контроля безопасности. Злоумышленники переходят к следующему шагу, удаляя из вредоносного кода ненужные элементы и упрощая его до основных компонентов. Полученные в результате полезные нагрузки называются «зачищенными», они более скрытны, эффективны и труднее обнаруживаются антивирусными программами и другими средствами защиты.
Обфусцированные файлы или данные: Удаление полезной нагрузки
Символы, генерируемые компоновщиком операционной системы при компиляции исполняемых полезных нагрузок, играют важную роль в понимании разработчиками и реверс-инженерами функциональности кода. Аналогичным образом, строки и имена переменных в скриптах и исполняемых файлах служат документацией по функциональности кода. Злоумышленники используют технику Stripped Payloads, чтобы усложнить анализ вредоносного ПО за счет удаления символов, строк и другой информации, доступной для чтения человеком.
Злоумышленники намеренно лишают код человекочитаемых элементов, удаляя символы и запутывая строки. В результате код становится менее понятным как для автоматизированных средств защиты, так и для аналитиков вредоносного ПО. Компиляторы и другие инструменты программирования часто предоставляют функции, специально предназначенные для удаления или обфускации этих элементов, что позволяет злоумышленникам создавать зачищенные полезные нагрузки, более устойчивые к попыткам обратной разработки.
macOS.OSAMiner - это криптомайнер, использующий AppleScripts в формате run-only для удаления символов и другой идентифицируемой информации. Злоумышленники вставили в вредоносную программу функцию декодирования и вызывали ее несколько раз для декодирования обфусцированных строк шестнадцатеричных символов, что позволило им скрыть функциональность и назначение скрипта.
В другом примере злоумышленники использовали дроппер с именем dca.ELF для развертывания криптоминера XMRIG. ELF-файл использует технику Stripped Payload для сокрытия своих функциональных возможностей путем удаления символов и строк после распаковки бинарного файла.