Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1070 , T1070.001 , T1070.002 , T1070.003 , T1070.004 , T1070.005 , T1070.006 , T1070.007 , T1070.008 , T1070.009 , T1070.010
После доставки полезной нагрузки злоумышленники могут размножить копии той же вредоносной программы на системе жертвы, чтобы удалить доказательства своего присутствия и/или избежать защиты. Копирование полезной нагрузки вредоносного ПО в новые места может также сочетаться с Удалением файлов для очистки старых артефактов.
Перемещение вредоносных программ может быть частью многих действий, направленных на обход средств защиты. Например, противники могут копировать и переименовывать полезные нагрузки, чтобы лучше вписаться в локальную среду (например, Match Legitimate Name or Location).(Цит. по: DFIR Report Trickbot June 2023) Полезная нагрузка также может быть перемещена, чтобы нацелиться на File/Path Exclusions, а также на определенные места, связанные с установлением Persistence.(Цит. по: Latrodectus APR 2024).
Перемещение вредоносных полезных нагрузок также может затруднить защитный анализ, особенно для отделения этих полезных нагрузок от более ранних событий (таких как User Execution и Phishing), которые могли вызвать предупреждения или иным образом привлечь внимание защитников.
https://attack.mitre.org/techniques/T1070/010
Визуализация смежных техник для T1070.010
| № | Техника |
|---|
