Техники: T1027 , T1027.001 , T1027.002 , T1027.003 , T1027.004 , T1027.005 , T1027.006 , T1027.007 , T1027.008 , T1027.009 , T1027.010 , T1027.011 , T1027.012 , T1027.013 , T1027.014
Злоумышленники могут пытаться затруднить обнаружение и анализ полезной нагрузки, передавая жертвам файлы в виде некомпилированного кода. Файлы с исходным кодом в текстовом виде могут не поддаваться анализу и проверке средствами защиты, нацеленными на исполняемые/бинарные файлы. Такие полезные нагрузки необходимо компилировать перед выполнением; обычно для этого используются встроенные утилиты, такие как ilasm.exe (Цит. по: ATTACK IQ), csc.exe или GCC/MinGW.(Цит. по: ClearSky MuddyWater Nov 2018)
Полезная нагрузка в виде исходного кода также может быть зашифрована, закодирована и/или встроена в другие файлы, например, в те, которые поставляются в виде Phishing. Полезная нагрузка также может поставляться в форматах, нераспознаваемых и небезопасных для родной ОС (например, EXE в macOS/Linux), а затем (повторно) компилироваться в надлежащий исполняемый двоичный файл с помощью компилятора и механизма исполнения.(Цитата: TrendMicro WindowsAppMac)
https://attack.mitre.org/techniques/T1027/004
Визуализация смежных техник для T1027.004
| № | Техника |
|---|
