Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1027.011 - Бесфайловое хранение

Техники:  T1027 , T1027.001 , T1027.002 , T1027.003 , T1027.004 , T1027.005 , T1027.006 , T1027.007 , T1027.008 , T1027.009 , T1027.010 , T1027.011 , T1027.012 , T1027.013 , T1027.014

Злоумышленники могут хранить данные в «безфайловых» форматах, чтобы скрыть вредоносную деятельность от средств защиты. Бесфайловое хранилище можно определить как любой формат, отличный от файла. Обычные примеры энергонезависимого безфайлового хранения в системах Windows - реестр Windows, журналы событий или репозиторий WMI.(Цитата: Microsoft Fileless)(Цитата: SecureList Fileless) В системах Linux каталоги общей памяти, такие как `/dev/shm`, `/run/shm`, `/var/run` и `/var/lock`, также можно считать безфайловым хранением, поскольку файлы, записанные в эти каталоги, отображаются непосредственно в оперативной памяти и не сохраняются на диске. (Цитата: Elastic Binary Executed from Shared Memory Directory)(Цитата: Akami Frog4Shell 2024)(Цитата: Aquasec Muhstik Malware 2024)

Подобно поведению безфайловых хранилищ в памяти, таких как Reflective Code Loading и Process Injection, безфайловые хранилища данных могут оставаться незамеченными антивирусами и другими средствами защиты конечных точек, которые могут получить доступ к файлам определенных форматов только с дискового хранилища. Использование безфайлового хранилища может также позволить злоумышленникам обойти защиту, обеспечиваемую файловыми системами только для чтения в Linux.(цит. по: Sysdig Fileless Malware 23022)

Злоумышленники могут использовать безфайловое хранилище для сокрытия различных типов хранимых данных, включая полезную нагрузку/шелл-код (потенциально используемый как часть Persistence) и собранные данные, еще не удаленные от жертвы (например, Local Data Staging). Злоумышленники также часто шифруют, кодируют, сращивают или иным образом обфусцируют эти безфайловые данные при хранении.

Некоторые формы деятельности по хранению без файлов могут косвенно создавать артефакты в файловой системе, но в центральных и труднодоступных для проверки форматах, таких как физические файлы WMI (например, `%SystemRoot%\System32\Wbem\Repository`) или реестра (например, `%SystemRoot%\System32\Config`).(Цит. по: Microsoft Fileless)

https://attack.mitre.org/techniques/T1027/011

← Назад

Визуализация смежных техник для T1027.011

Отрасль:
 с подтехниками
Техника

Закрыть