Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1027.015 - Сжатие

Техники:  T1027 , T1027.001 , T1027.002 , T1027.003 , T1027.004 , T1027.005 , T1027.006 , T1027.007 , T1027.008 , T1027.009 , T1027.010 , T1027.011 , T1027.012 , T1027.013 , T1027.014 , T1027.015 , T1027.016 , T1027.017

Злоумышленники могут использовать сжатие для скрытия своих полезных нагрузок или файлов. Сжатые форматы файлов, такие как ZIP, gzip, 7z и RAR, могут сжимать и архивировать несколько файлов вместе, чтобы упростить и ускорить их передачу. Помимо сжатия файлов, злоумышленники могут также сжимать непосредственно шелл-код, например, для хранения его в ключе реестра Windows (т. е. бесфайловое хранилище). (Источник: Trustwave Pillowmint, июнь 2020 г.)

Чтобы еще больше затруднить обнаружение, злоумышленники могут объединять несколько ZIP-файлов в один архив. В результате этого процесса объединения создается архив, который выглядит как единый архив, но на самом деле содержит центральные каталоги встроенных архивов. Некоторые программы для чтения ZIP-файлов, такие как 7zip, могут не распознавать объединенные ZIP-файлы и пропустить наличие вредоносного содержимого. (Источник: Perception Point)

Файловые архивы могут отправляться в виде одного вложения для целевого фишинга по электронной почте. Злоумышленники отправляют вредоносные нагрузки в виде заархивированных файлов, чтобы побудить пользователя взаимодействовать с ними и извлечь вредоносную нагрузку в свою систему (т. е. вредоносный файл). (Источник: NTT Security Flagpro, декабрь 2021 г.) Однако некоторые инструменты сжатия файлов, такие как 7zip, могут использоваться для создания самораспаковывающихся архивов. Злоумышленники могут отправлять самораспаковывающиеся архивы, чтобы скрыть функциональность своего вредоносного кода и запустить его без необходимости выполнения нескольких действий со стороны пользователя. (Источник: The Hacker News)

Сжатие может использоваться в сочетании с зашифрованными/кодированными файлами, когда сжатые файлы шифруются и защищаются паролем.

https://attack.mitre.org/techniques/T1027/015

← Назад

Визуализация смежных техник для T1027.015

Отрасль:
 с подтехниками
Техника

Закрыть