Техники: T1027 , T1027.001 , T1027.002 , T1027.003 , T1027.004 , T1027.005 , T1027.006 , T1027.007 , T1027.008 , T1027.009 , T1027.010 , T1027.011 , T1027.012 , T1027.013 , T1027.014
Злоумышленники могут удалять индикаторы из инструментов, если считают, что их вредоносный инструмент был обнаружен, помещен в карантин или уничтожен иным способом. Они могут модифицировать инструмент, удалив индикатор и используя обновленную версию, которая больше не обнаруживается защитными системами цели или последующими целями, которые могут использовать аналогичные системы.
Хорошим примером может служить ситуация, когда вредоносное ПО обнаруживается с помощью сигнатуры файла и помещается в карантин антивирусным программным обеспечением.Злоумышленник, который может определить, что вредоносная программа была помещена в карантин из-за сигнатуры файла, может модифицировать файл, чтобы явно избежать сигнатуры, а затем повторно использовать вредоносную программу.
https://attack.mitre.org/techniques/T1027/005
Визуализация смежных техник для T1027.005
| № | Техника |
|---|
