Техники: T1027 , T1027.001 , T1027.002 , T1027.003 , T1027.004 , T1027.005 , T1027.006 , T1027.007 , T1027.008 , T1027.009 , T1027.010 , T1027.011 , T1027.012 , T1027.013 , T1027.014
Злоумышленники могут попытаться затруднить анализ полезной нагрузки, удалив символы, строки и другую информацию, доступную для чтения человеком. Скрипты и исполняемые файлы могут содержать имена переменных и другие строки, которые помогают разработчикам документировать функциональность кода. Символы часто создаются программой `linker` операционной системы при компиляции исполняемых полезных нагрузок.Реверс-инженеры используют эти символы и строки для анализа кода и выявления функциональности в полезных нагрузках.(Цитата: Mandiant golang stripped binaries explanation)(Цитата: intezer stripped binaries elf files 2018)
Злоумышленники могут использовать stripped полезные нагрузки, чтобы затруднить анализ вредоносных программ. Например, компиляторы и другие инструменты могут предоставлять функции для удаления или обфускации строк и символов. Злоумышленники также использовали форматы зачеркнутых полезных нагрузок, например, только для запуска AppleScripts, скомпилированную и зачеркнутую версию AppleScript, чтобы обойти обнаружение и анализ.Отсутствие человекочитаемой информации может напрямую препятствовать обнаружению и анализу полезной нагрузки.(Цитата: SentinelLabs reversing run-only applescripts 2021)
https://attack.mitre.org/techniques/T1027/008
Визуализация смежных техник для T1027.008
| № | Техника |
|---|
