Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1027.009 - Встроенная полезная нагрузка

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1027 , T1027.001 , T1027.002 , T1027.003 , T1027.004 , T1027.005 , T1027.006 , T1027.007 , T1027.008 , T1027.009 , T1027.010 , T1027.011 , T1027.012 , T1027.013 , T1027.014

Злоумышленники могут встраивать полезную нагрузку в другие файлы, чтобы скрыть вредоносное содержимое от средств защиты. Иначе кажущиеся доброкачественными файлы (например, скрипты и исполняемые файлы) могут использоваться для переноса и маскировки вредоносных полезных нагрузок и содержимого.В некоторых случаях встроенные полезные нагрузки могут также позволить Злоумышленникам Subvert Trust Controls, не затрагивая такие средства контроля выполнения, как цифровые подписи и нотариальные билеты.(Цитата: Sentinel Labs)

Злоумышленники могут встраивать полезные нагрузки в различные форматы файлов, чтобы скрыть полезные нагрузки.(Цит. по: Microsoft Learn) Это похоже на Стеганографию, но не предполагает вплетения вредоносного содержимого в определенные байты и шаблоны, связанные с законными форматами цифровых медиа.(Цит. по: GitHub PSImage)

Например, злоумышленники внедряли полезную нагрузку внутрь или в качестве наложения на другие доброкачественные двоичные файлы.(Цит. по: Securelist Dtrack2) Злоумышленники также наблюдали вложение полезной нагрузки (например, исполняемых файлов и сценариев только для запуска) внутрь файла того же формата.(Цит. по: SentinelLabs reversing run-only applescripts 2021)

Встроенное содержимое также может использоваться в качестве Process Injection полезной нагрузки, используемой для заражения доброкачественных системных процессов.(Цит. по: Trend Micro) Эти встроенные и инжектируемые полезные нагрузки могут использоваться в составе модулей вредоносных программ, предназначенных для обеспечения специфических функций, таких как шифрование C2-коммуникаций в поддержку модуля-оркестранта.Например, встроенный модуль может внедряться в браузеры по умолчанию, позволяя Злоумышленникам осуществлять сетевую связь.(Цит. по: Malware Analysis Report ComRAT)

https://attack.mitre.org/techniques/T1027/009

← Назад

Визуализация смежных техник для T1027.009

Отрасль:
 с подтехниками
Техника

Закрыть