Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1027.007 - Динамическое разрешение API

Техники:  T1027 , T1027.001 , T1027.002 , T1027.003 , T1027.004 , T1027.005 , T1027.006 , T1027.007 , T1027.008 , T1027.009 , T1027.010 , T1027.011 , T1027.012 , T1027.013 , T1027.014

Злоумышленники могут обфусцировать и динамически разрешать API-функции, вызываемые их вредоносным ПО, чтобы скрыть вредоносный функционал и помешать защитному анализу. Вредоносное ПО обычно использует различные Native API функции, предоставляемые ОС для выполнения различных задач, например, связанных с процессами, файлами и другими системными артефактами.

API-функции, вызываемые вредоносным ПО, могут оставлять статические артефакты, такие как строки в файлах полезной нагрузки.Защитные аналитики также могут выявить, какие функции может выполнять двоичный файл, с помощью таблицы адресов импорта (IAT) или других структур, которые помогают динамически связывать вызывающий код с общими модулями, предоставляющими функции.(Цитата: Huntress API Hash)(Цитата: IRED API Hashing)

Чтобы избежать статического или другого защитного анализа, Злоумышленники могут использовать динамическое разрешение API для сокрытия характеристик и функциональных возможностей вредоносного ПО. Подобно Software Packing, динамическое разрешение API может изменять сигнатуры файлов и маскировать вызовы вредоносных API-функций до тех пор, пока они не будут разрешены и вызваны во время выполнения.

Для обфускации вызовов API-функций вредоносными программами могут использоваться различные методы. Например, вместо буквенных строк во вредоносных программах обычно хранятся хэши имен функций. Вредоносное ПО может использовать эти хэши (или другие идентификаторы) для ручного воспроизведения процесса компоновки и загрузки с помощью таких функций, как `GetProcAddress()` и `LoadLibrary()`.Эти хэши/идентификаторы также могут быть дополнительно обфусцированы с помощью шифрования или других приемов манипулирования строками (требующих использования различных форм Deobfuscate/Decode Files or Information во время выполнения).(Цитата: BlackHat API Packers)(Цитата: Drakonia HInvoke)(Цитата: Huntress API Hash)

https://attack.mitre.org/techniques/T1027/007

← Назад

Визуализация смежных техник для T1027.007

Отрасль:
 с подтехниками
Техника

Закрыть