Техники: T1036 , T1036.001 , T1036.002 , T1036.003 , T1036.004 , T1036.005 , T1036.006 , T1036.007 , T1036.008 , T1036.009 , T1036.010
Злоумышленники могут маскировать вредоносную полезную нагрузку под легитимные файлы, изменяя форматирование полезной нагрузки, включая подпись, расширение и содержимое файла. Различные типы файлов имеют типичный стандартный формат, включая то, как они закодированы и организованы. Например, сигнатура файла (также известная как заголовок или магические байты) - это начальные байты файла, которые часто используются для определения его типа. Например, заголовок файла JPEG - это 0xFF 0xD8, а расширение файла - `.JPE`, `.JPEG` или `.JPG`.
Злоумышленники могут изменить шестнадцатеричный код заголовка и/или расширение файла вредоносной полезной нагрузки, чтобы обойти проверки валидности файлов и/или санитарную обработку ввода. Такое поведение обычно используется при передаче (например, Ingress Tool Transfer) и хранении (например, Upload Malware) файлов полезной нагрузки, чтобы злоумышленники могли перемещать свои вредоносные программы, не вызывая их обнаружения.
Обычные неисполняемые типы и расширения файлов, такие как текстовые файлы (`.txt`) и файлы изображений (`.jpg`, `.gif` и т. д.), обычно рассматриваются как доброкачественные. Исходя из этого, злоумышленники могут использовать расширение файла для маскировки вредоносного ПО, например, называя код бэкдора PHP именем файла test.gif. Пользователь может не догадаться о том, что файл является вредоносным, из-за доброкачественного внешнего вида и расширения файла.
маскировки вредоносных программ и их возможностей также могут использоваться полиготфайлы - файлы, имеющие несколько различных типов и функционирующие по-разному в зависимости от приложения, которое их исполняет.(Цитата: polygot_icedID)
https://attack.mitre.org/techniques/T1036/008
Визуализация смежных техник для T1036.008
| № | Техника |
|---|
