Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1027.013 - Зашифрованный/кодированный файл

Техники:  T1027 , T1027.001 , T1027.002 , T1027.003 , T1027.004 , T1027.005 , T1027.006 , T1027.007 , T1027.008 , T1027.009 , T1027.010 , T1027.011 , T1027.012 , T1027.013 , T1027.014

Злоумышленники могут шифровать или кодировать файлы, чтобы скрыть строки, байты и другие специфические шаблоны, препятствующие обнаружению. Шифрование и/или кодирование содержимого файла направлено на сокрытие вредоносных артефактов в файле, используемом при вторжении. Многие другие техники, такие как Software Packing, Steganography и Embedded Payloads, имеют ту же общую цель. Шифрование и/или кодирование файлов может привести к промедлению в обнаружении статических сигнатур, только чтобы это вредоносное содержимое было обнаружено (т. е. Deobfuscate/Decode Files or Information) в момент выполнения/использования.

Этот тип обфускации файлов может применяться ко многим файловым артефактам, присутствующим на хостах жертв, например к логам/конфигурациям вредоносных программ и файлам полезной нагрузки.(Цитата: Обфускация файлов) Файлы могут быть зашифрованы с помощью жестко закодированного или предоставленного пользователем ключа, а также обфусцированы иным образом с использованием стандартных схем кодирования/сжатия, таких как Base64.

Обфусцировать можно как все содержимое файла, так и отдельные функции или значения (например, адреса C2). Шифрование и кодирование также могут применяться в избыточных слоях для дополнительной защиты.

Например, злоумышленники могут использовать защищенные паролем документы Word или самораспаковывающиеся (SFX) архивы в качестве метода шифрования/кодирования файла, например Phishing полезной нагрузки.Эти файлы обычно функционируют путем присоединения предполагаемого архивного содержимого к заглушке распаковщика, которая выполняется при вызове файла (например, User Execution).(Цитата: SFX - зашифрованный/кодированный файл)

Злоумышленники могут также злоупотреблять схемами кодирования, характерными для конкретных файлов, а также пользовательскими.Например, заголовки Byte Order Mark (BOM) в текстовых файлах могут использоваться для манипулирования и обфускации содержимого файла до выполнения Command and Scripting Interpreter.

https://attack.mitre.org/techniques/T1027/013

← Назад

Визуализация смежных техник для T1027.013

Отрасль:
 с подтехниками
Техника

Закрыть