Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1027 , T1027.001 , T1027.002 , T1027.003 , T1027.004 , T1027.005 , T1027.006 , T1027.007 , T1027.008 , T1027.009 , T1027.010 , T1027.011 , T1027.012 , T1027.013 , T1027.014
Злоумышленники могут использовать двоичную подложку для добавления нежелательных данных и изменения представления вредоносного ПО на диске. Это может быть сделано без изменения функциональности или поведения двоичного файла, но может увеличить размер двоичного файла настолько, что некоторые средства защиты не смогут с ним справиться из-за ограничений на размер файла.
Набивка двоичных файлов эффективно изменяет контрольную сумму файла, а также может использоваться для обхода блок-листов на основе хэша и статических антивирусных сигнатур.(Цит. по: ESET OceanLotus) Используемая набивка обычно генерируется функцией для создания нежелательных данных, а затем добавляется в конец или применяется к разделам вредоносного ПО.(Цит. по: Securelist Malware Tricks April 2017) Увеличение размера файла может снизить эффективность некоторых инструментов и средств обнаружения, которые не предназначены или не настроены на сканирование больших файлов. Это также может снизить вероятность того, что файл будет собран для анализа.Публичные сервисы сканирования файлов, такие как VirusTotal, ограничивают максимальный размер загружаемого файла для анализа.(Цит. по: VirusTotal FAQ)
https://attack.mitre.org/techniques/T1027/001
Визуализация смежных техник для T1027.001
| № | Техника |
|---|
