Главная страница » MITRE ATT&CK
0
5 дней
MITRE ATT&CK

MITRE ATT&CK T1027.011 - Обфусцированные файлы или данные: Бесфайловое хранение

MITRE ATT&CK

Бесфайловое хранение - это подход к хранению данных, при котором информация хранится и управляется без необходимости в явных файлах или каталогах. В отличие от обычных методов хранения, при которых данные организуются в файлы и папки, в бесфайловом хранилище для организации и получения данных используются теги и атрибуты метаданных. Этот метод призван повысить доступность данных, улучшить масштабируемость и упростить управление большими и разнообразными массивами данных.

Обфусцированные файлы или данные: Бесфайловое хранение

Злоумышленники используют метод безфайлового хранения данных в качестве тайного хранилища для хранения критически важных данных и сокрытия вредоносной деятельности. Поскольку безфайловое хранилище данных работает в эфемерной области системной памяти, эта техника позволяет вредоносным программам обходить антивирусы и другие средства защиты конечных точек, предназначенные для сканирования определенных форматов файлов, хранящихся на диске. Динамическая природа безфайлового хранилища позволяет злоумышленникам проводить свои операции, не оставляя следов.

Злоумышленники обычно используют энергонезависимые безфайловые хранилища, такие как реестр Windows, журналы событий и хранилища WMI. Например, вредоносная программа DarkWatchman использует безфайловое хранилище реестра Windows для хранения данных, собранных ее кейлоггером. Вместо того чтобы записывать перехваченные данные на диск, вредоносная программа хранит их в реестре ниже.

Эта техника позволяет злоумышленникам сохранять малозаметное присутствие во взломанной системе, обеспечивая сохранение плацдарма на протяжении долгого времени. Кроме того, собранные данные можно незаметно хранить до момента их утечки.

В другом примере вредоносная программа Pure Clipper использует технику бесфайлового хранения, чтобы закрепиться в скомпрометированной системе. После создания реестра злоумышленники сохраняют в нем свою вредоносную полезную нагрузку, которая создает запланированную задачу для сохранения.

Злоумышленники также используют другие методы обфускации, такие как шифрование, кодирование или сращивание, при хранении данных в безфайловых форматах. Это добавляет дополнительный уровень сложности в процесс обнаружения и значительно усложняет работу служб контроля безопасности и аналитиков вредоносного ПО.

Комментарии: 0
Похожие записи
0
5 дней
MITRE ATT&CK

MITRE ATT&CK T1027.010 - Обфусцированные файлы или данные: Обфускация команд

MITRE ATT&CK
Обфускация команд используется для сокрытия функциональности команд или кода. Эта техника включает в себя различные методы, такие как шифрование или кодирование командных строк, использование полиморфных
0
6 дней
MITRE ATT&CK

MITRE ATT&CK T1027.009 - Обфусцированные файлы или данные: Встраиваемые полезные нагрузки

MITRE ATT&CK
Встраиваемые полезные нагрузки - это незаметные элементы кода или данных, стратегически вставленные в более крупное программное обеспечение. Этот термин отражает концепцию включения определенных функций
0
6 дней
MITRE ATT&CK

MITRE ATT&CK T1027.008 - Обфусцированные файлы или данные: Удаление полезной нагрузки

MITRE ATT&CK
Полезная нагрузка - это общий термин для обозначения вредоносного компонента, предназначенного для выполнения определенного действия, такого как эксплуатация уязвимости или шифрование конфиденциальных файлов.