Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1204 , T1204.001 , T1204.002 , T1204.003
Злоумышленник может рассчитывать на то, что пользователь откроет вредоносный файл, чтобы получить возможность его выполнить. Пользователи могут быть подвергнуты социальной инженерии, чтобы заставить их открыть файл, который приведет к выполнению кода. Это действие пользователя обычно наблюдается как продолжение поведения после Spearphishing Attachment. Злоумышленники могут использовать несколько типов файлов, требующих от пользователя их выполнения, включая .doc, .pdf, .xls, .rtf, .scr, .exe, .lnk, .pif, .cpl и .reg.
Злоумышленники могут использовать различные формы маскировки и обфусцированных файлов или информации для повышения вероятности того, что пользователь откроет и успешно выполнит вредоносный файл. Эти методы могут включать использование знакомых имен и/или защиту файла паролем и предоставление пользователю инструкций по его открытию.(Цит. по: Password Protected Word Docs)
Хотя Вредоносный файл часто возникает вскоре после первоначального доступа, он может появляться и на других этапах вторжения, например, когда противник помещает файл в общий каталог или на рабочий стол пользователя в надежде, что тот нажмет на него. Эта активность также может наблюдаться вскоре после Internal Spearphishing.
https://attack.mitre.org/techniques/T1204/002
Визуализация смежных техник для T1204.002
| № | Техника |
|---|
