Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1036 , T1036.001 , T1036.002 , T1036.003 , T1036.004 , T1036.005 , T1036.006 , T1036.007 , T1036.008 , T1036.009 , T1036.010
Злоумышленники могут совпадать или приблизительно совпадать с именем или местоположением легитимных файлов или ресурсов при их именовании/размещении. Это делается с целью уклонения от защиты и наблюдения. Это может быть сделано путем размещения исполняемого файла в обычно доверенном каталоге (например, в System32) или присвоения ему имени легитимной, доверенной программы (например, svchost.exe). В контейнерных средах это также может быть сделано путем создания ресурса в пространстве имен, соответствующем соглашению об именовании контейнерного блока или кластера. В качестве альтернативы, имя файла или образа контейнера может быть близким к легитимным программам/изображениям или чем-то безобидным.
Злоумышленники также могут использовать тот же значок файла, который они пытаются имитировать.
https://attack.mitre.org/techniques/T1036/005
Визуализация смежных техник для T1036.005
| № | Техника |
|---|
