Средства контроля безопасности могут быть настроены на быстрое обнаружение инструментов и служб с пользовательскими именами, и они часто вносят определенные системные задачи или службы в белый список, чтобы уменьшить количество ложных срабатываний при обнаружении. Хотя такая практика удобна для повседневной работы, злоумышленники меняют название своей вредоносной задачи/службы на название легитимной задачи/службы, чтобы выглядеть легитимными и избежать обнаружения.
Маскировка задачи или службы
Злоумышленники часто используют идентичные или похожие имена легитимных задач/служб, выполняемых службами Windows, службами Linux systemd, планировщиком задач Windows и at (Linux и Windows).
- Trigona ransomware: Сообщалось, что Trigona ransomware намеренно назвала свой двоичный файл вымогателя именем обычного и важного процесса Windows. Чтобы органично вписаться в среду Windows, полезная нагрузка получила имя svhost.exe, похожее на подлинный бинарный файл Windows svchost.exe.
- WinSCP: злоумышленники назвали исполняемый файл своей вредоносной программы «pythonw.exe», чтобы избежать подозрений в процессе установки. Кроме того, вредоносная программа имеет цифровую подпись и предназначена для запуска без всплывающих окон, что повышает ее шансы избежать обнаружения.
- Icarus Stealer: Злоумышленники используют дропперы для доставки Icarus Stealer на скомпрометированные системы и сохраняют его под именами svchost.exe и svchost.bat, чтобы он выглядел как доверенный двоичный файл Windows. Однако эти файлы представляют собой незашифрованные формы Icarus Stealer и используются для утечки данных жертвы на контролируемый злоумышленниками сервер Discord.