Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1027 - Обфусцированные файлы или информация

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1027 , T1027.001 , T1027.002 , T1027.003 , T1027.004 , T1027.005 , T1027.006 , T1027.007 , T1027.008 , T1027.009 , T1027.010 , T1027.011 , T1027.012 , T1027.013 , T1027.014

Злоумышленники могут попытаться сделать исполняемый файл или файл труднодоступным для обнаружения или анализа, зашифровав, закодировав или иным образом обфусцировав его содержимое в системе или при передаче. Это обычное поведение, которое может использоваться на различных платформах и в сети для обхода защитных систем.

Полезная нагрузка может быть сжата, заархивирована или зашифрована, чтобы избежать обнаружения. Эти полезные нагрузки могут использоваться при первоначальном доступе или позже, чтобы снизить вероятность обнаружения. Иногда действия пользователя могут потребоваться для открытия и деобфускации/декодирования файлов или информации для выполнения пользователем. От пользователя также может потребоваться ввести пароль, чтобы открыть защищенный паролем сжатый/зашифрованный файл, предоставленный Злоумышленником. (Цитата: Volexity PowerDuke, ноябрь 2016 г.) Злоумышленники также могут использовать сжатые или заархивированные сценарии, например JavaScript.

Части файлов также могут быть закодированы, чтобы скрыть строки открытого текста, которые в противном случае помогли бы защитникам в обнаружении. (Цитата: Linux/Cdorked.A We Live Security Analysis) Полезная нагрузка также может быть разделена на отдельные, на первый взгляд, безопасные файлы, которые обнаруживают вредоносную функциональность только при повторной сборке.(Цитата: Carbon Black Obfuscation Sept 2016)

Злоумышленники также могут использовать Command Obfuscation для скрытия команд, выполняемых из полезной нагрузки или непосредственно через Command and Scripting Interpreter. Переменные окружения, псевдонимы, символы и другая семантика, специфичная для платформы/языка, могут использоваться для обхода сигнатурных обнаружений и механизмов контроля приложений.(Цитата: FireEye Obfuscation June 2017) (Цитата: FireEye Revoke-Obfuscation July 2017) (Цитата: PaloAlto EncodedCommand March 2017)

https://attack.mitre.org/techniques/T1027

← Назад

Визуализация смежных техник для T1027

Отрасль:
 с подтехниками
Техника

Закрыть