MITRE ATT&CK T1036.006 - Маскарад: Пробел после имени файла
Расширения файлов помогают пользователям и операционным системам определить формат файла, а также способ обработки и интерпретации его содержимого.
MITRE ATT&CK T1036.005 - Маскарад: Сопоставление законного имени или местоположения
Злоумышленники используют доверие, присущее законным именам и каталогам, таким как собственные двоичные файлы в каталоге System32 в среде Windows.
MITRE ATT&CK T1036.004 - Маскарад: Маскировка задачи или службы
Средства контроля безопасности могут быть настроены на быстрое обнаружение инструментов и служб с пользовательскими именами, и они часто вносят определенные системные задачи или службы в белый список
MITRE ATT&CK T1036.003 - Маскарад: Переименование системных утилит
Встроенные системные утилиты, такие как cmd.exe, certutil.exe и rundll32.exe, имеют множество законных применений в повседневной работе операционной системы, и средства контроля безопасности настроены
MITRE ATT&CK T1036.002 - Маскарад: Переопределение справа налево
Символ Right-to-Left Override (RTLO или RLO) может отображать текст, следующий за ним, в порядке справа налево. Это непечатный символ Юникода (U+202E). Символ RTLO используется для отображения текста в
MITRE ATT&CK T1036.001 - Маскарад: Неверная подпись кода
Подписание кода - это метод цифровой подписи исполняемых файлов для проверки автора исполняемого файла и гарантии целостности исполняемого файла. При использовании этой подтехники злоумышленники копируют
MITRE ATT&CK T1036 - Маскарад (Маскировка)
Маскарад - это техника злоумышленников, позволяющая изменять характеристики своих вредоносных артефактов, чтобы они выглядели как легитимные и доверенные. Примерами таких признаков являются сигнатуры кода
Криптовалютные кошельки Atomic и Exodus стали мишенью вредоносной npm-кампании
Исследователи компании ReversingLabs обнаружили новый вредоносный пакет npm, который использует исправление локального программного обеспечения для перехвата криптовалютных переводов.
MITRE ATT&CK T1055.009 Внедрение процесса: Память процессов
Память процессов (Proc Memory) - это техника внедрения в процесс, с помощью которой злоумышленники читают из памяти процесса или записывают в нее, что позволяет им внедрять и выполнять вредоносный код без создания нового процесса.
MITRE ATT&CK T1055.013 Внедрение процесса: Доппеллинг процессов
Доппеллинг процессов (Process Doppelgänginging) - это техника внедрения процессов, которая позволяет злоумышленникам выполнять вредоносный код, манипулируя механизмом загрузки процессов Windows.