Главная страница » MITRE ATT&CK
0
2 месяца
MITRE ATT&CK

MITRE ATT&CK T1027 - Обфусцированные файлы или данные

MITRE ATT&CK

Сокрытие истинной природы вредоносных файлов и информации - один из самых распространенных приемов злоумышленников. Используя различные методы обфускации, злоумышленники делают свои инструменты и скрипты более сложными для понимания и анализа средствами контроля безопасности и наблюдателями. Обфускация также позволяет злоумышленникам обходить сигнатурные средства обнаружения, препятствовать усилиям по обратному инжинирингу,

Использование злоумышленниками обфусцированных файлов или информации

Злоумышленники обфусцируют вредоносные файлы, коды, команды, конфигурации и другую информацию, чтобы избежать обнаружения средствами контроля безопасности. Наиболее распространенными методами обфускации являются:

  • Изменение формы данных: Этот метод включает механизмы, преобразующие данные, чтобы избежать обнаружения, такие как сжатие, архивирование, упаковка и архивация. Некоторые из этих механизмов требуют вмешательства пользователя для возвращения данных в исходную форму, например, введения пароля для открытия защищенного паролем файла.
  • Изменение размера данных: Этот метод включает в себя механизмы, такие как двоичная подшивка, которые увеличивают размер вредоносного файла, не влияя на его функциональность и поведение. Цель - обойти средства защиты, которые не настроены на сканирование файлов, превышающих определенный размер.
  • Сокрытие вредоносных данных: Эти механизмы скрывают вредоносные данные в, казалось бы, доброкачественных файлах. Перед тем как спрятать данные в файле, их можно разделить, чтобы снизить вероятность обнаружения. Примерами такого метода являются стеганография и HTML-контрабанда.
  • Обфускация или удаление индикаторов: Этот метод включает в себя механизмы, которые используются для обфускации или удаления индикаторов компрометации из вредоносных файлов, чтобы избежать обнаружения. Подписи файлов, переменные окружения, символы, имена секций и другая семантика, специфичная для платформы/языка/приложения, - вот некоторые индикаторы, которые обфусцируются/удаляются атакующими, чтобы обойти сигнатурные методы обнаружения.
  • Манипулирование структурой кода: Злоумышленники обфусцируют логический поток своих скриптов с помощью таких приемов, как перестановка кода, что затрудняет анализ истинной природы кода аналитиками безопасности.
Комментарии: 0
Похожие записи
0
2 месяца
MITRE ATT&CK

MITRE ATT&CK T1027.011 - Обфусцированные файлы или данные: Бесфайловое хранение

MITRE ATT&CK
Бесфайловое хранение - это подход к хранению данных, при котором информация хранится и управляется без необходимости в явных файлах или каталогах. В отличие от обычных методов хранения, при которых данные
0
2 месяца
MITRE ATT&CK

MITRE ATT&CK T1027.010 - Обфусцированные файлы или данные: Обфускация команд

MITRE ATT&CK
Обфускация команд используется для сокрытия функциональности команд или кода. Эта техника включает в себя различные методы, такие как шифрование или кодирование командных строк, использование полиморфных
0
2 месяца
MITRE ATT&CK

MITRE ATT&CK T1027.009 - Обфусцированные файлы или данные: Встраиваемые полезные нагрузки

MITRE ATT&CK
Встраиваемые полезные нагрузки - это незаметные элементы кода или данных, стратегически вставленные в более крупное программное обеспечение. Этот термин отражает концепцию включения определенных функций