Маскарад - это техника злоумышленников, позволяющая изменять характеристики своих вредоносных артефактов, чтобы они выглядели как легитимные и доверенные. Примерами таких признаков являются сигнатуры кода, имена, местоположение вредоносных программ, имена задач и сервисов. После маскировки вредоносные артефакты, такие как файлы вредоносного ПО, кажутся пользователям и средствам контроля безопасности легитимными.
Маскировка объектов
Маскировка расширений файлов
Это поведение злоумышленников заключается в том, чтобы обманом заставить пользователя или приложение открыть файл, который кажется безопасным типом файла из-за его кажущегося расширения. Таким образом, расширение, воспринимаемое пользователями, не соответствует реальному расширению файла. Следующие подтехники техники маскировки включают маскировку расширений:
- T1036.002 Переопределение справа налево
- T1036.006 Пробел после имени файла
- T1036.007 Двойное расширение файла
- T1036.008 Маскарадный тип файла
Маскировка имен
Атакующие могут менять
- T1036.005 Сопоставлять легитимное имя или местоположение
- T1036.003 Переименовывать системные утилиты
- T1036.004 Маскировка задач или служб
- имена легитимных системных утилит перед их использованием, поскольку некоторые средства защиты отслеживают эти встроенные системные утилиты, чтобы обнаружить их подозрительное использование.
- имена задач или служб с именами легитимных задач или служб, чтобы создать видимость доброкачественной работы и избежать обнаружения.
- имена вредоносных файлов с именами легитимных и доверенных приложений, например «svchost.exe».
Маскировка местоположения файлов
Злоумышленники могут маскировать местоположение файлов, размещая:
- размещения вредоносных файлов в доверенных каталогах, таких как «C:\Windows\System32», чтобы обойти защиту.
- создания каталогов, похожих на каталоги, используемые известными программами, например «C:\Intel\».
- изменение всего пути вредоносной программы, включая каталог и имя файла, например «C:\NVIDIA\NvDaemon.exe».
Эти методы относятся к подтехнике T1036.005 Match Legitimate Name or Location.
Маскировка подписей файлов
Злоумышленники используют технику T1036.001 Invalid Code Signature для копирования информации о подписи кода и метаданных действительных и подписанных программ. Эта техника позволяет вредоносному ПО обходить защиту на основе сигнатур.
Маскировка процесса выполнения
Злоумышленники используют технику T1036.009 Break Process Trees для изменения идентификатора родительского процесса исполняемой вредоносной программы. Эта техника позволяет злоумышленникам обходить средства обнаружения на основе дерева процессов, нарушая взаимосвязь между родительскими и дочерними процессами.