Встроенные системные утилиты, такие как cmd.exe, certutil.exe и rundll32.exe, имеют множество законных применений в повседневной работе операционной системы, и средства контроля безопасности настроены на отслеживание злонамеренного использования этих утилит.
Чтобы избежать обнаружения, злоумышленники часто переименовывают встроенные системные утилиты или перемещают их в другие каталоги перед началом вредоносной работы.
Печально известный похититель информации QakBot использовал эту технику для переименования бинарного файла Windows Regsvr32 [10]. Было замечено, что операторы QakBot копируют двоичный файл в каталог /tmp и переименовывают его перед началом вредоносных операций. Более того, вредоносная программа QakBot сохраняет часть имени бинарного файла «regsvr32.exe» в качестве переменных и произвольно вызывает его во время выполнения. Эти действия позволяют злоумышленникам избежать обнаружения средствами контроля безопасности и анализа вредоносного ПО.