MITRE ATT&CK T1027.009 - Обфусцированные файлы или данные: Встраиваемые полезные нагрузки

Встраиваемые полезные нагрузки - это незаметные элементы кода или данных, стратегически вставленные в более крупное программное обеспечение. Этот термин отражает концепцию включения определенных функций, инструкций или данных в более широкую систему, часто с целью достижения конкретных целей или результатов. Злоумышленники также используют встроенные полезные нагрузки для размещения вредоносного кода в безобидных на первый взгляд файлах или программах, чтобы использовать уязвимости, нарушить целостность системы или получить несанкционированный доступ.

Обфусцированные файлы или данные: Встраиваемые полезные нагрузки

Злоумышленники используют технику встроенных полезных нагрузок для сокрытия вредоносного содержимого в файлах различных форматов - эта тактика направлена на то, чтобы избежать обнаружения средствами контроля безопасности. Для маскировки истинной природы встроенных полезных нагрузок используются, казалось бы, безопасные файлы, такие как скрипты и исполняемые файлы.

Злоумышленники обычно помещают свои полезные нагрузки в файлы одинакового формата, чтобы усложнить процесс обнаружения и дать вредоносному ПО возможность использовать привычный формат файла. Использование схожих форматов приводит к тому, что средства защиты не могут отличить легитимное содержимое от вредоносного.

Вредоносная программа Snake - отличный пример использования злоумышленниками техники встроенных полезных нагрузок. За 20 лет своего развития вредоносная программа Snake превратилась в высокоэффективный инструмент кибершпионажа. Каждая функция встроена в вредоносную программу в виде модулей, и злоумышленники используют различные параметры конфигурации для доступа к встроенным исполняемым файлам. Список встроенных инструментов приведен ниже.