Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1140
Злоумышленники могут использовать Обфусцированные файлы или информацию, чтобы скрыть артефакты вторжения от анализа. Им могут потребоваться отдельные механизмы для декодирования или деобфускации этой информации в зависимости от того, как они собираются ее использовать. Для этого могут использоваться встроенные функции вредоносного ПО или утилиты, присутствующие в системе.
Одним из таких примеров является использование certutil для декодирования портативного исполняемого файла инструмента удаленного доступа, который был спрятан внутри файла сертификата.(Цитата: Malwarebytes Targeted Attack against Saudi Arabia) Другой пример - использование команды Windows copy /b для сборки двоичных фрагментов в вредоносную полезную нагрузку.(Цит. по: Carbon Black Obfuscation Sept 2016)
Иногда в рамках User Execution может потребоваться действие пользователя, чтобы открыть его для деобфускации или расшифровки. От пользователя также может потребоваться ввести пароль, чтобы открыть защищенный паролем сжатый/зашифрованный файл, предоставленный Злоумышленником.(Цитата: Volexity PowerDuke November 2016)
https://attack.mitre.org/techniques/T1140
Визуализация смежных техник для T1140
| № | Техника |
|---|
