Техники: T1218 , T1218.001 , T1218.002 , T1218.003 , T1218.004 , T1218.005 , T1218.007 , T1218.008 , T1218.009 , T1218.010 , T1218.011 , T1218.012 , T1218.013 , T1218.014 , T1218.015
Злоумышленники могут обойти защиту на основе процессов и/или сигнатур, проксируя выполнение вредоносного содержимого с помощью подписанных или иным образом доверенных двоичных файлов. Двоичные файлы, используемые в этой технике, часто имеют подпись Microsoft, что указывает на то, что они либо загружены с сайта Microsoft, либо уже встроены в операционную систему.(Цитата: Проект LOLBAS) Двоичные файлы, подписанные доверенными цифровыми сертификатами, обычно могут выполняться в системах Windows, защищенных проверкой цифровой подписи. Некоторые подписанные Microsoft двоичные файлы, которые по умолчанию устанавливаются в Windows, могут использоваться для прокси-исполнения других файлов или команд.
Аналогично, в Linux-системах Злоумышленники могут злоупотреблять доверенными двоичными файлами, такими как split, чтобы проксировать выполнение вредоносных команд.(Цитата: split man page)(Цитата: GTFO split)
https://attack.mitre.org/techniques/T1218
Визуализация смежных техник для T1218
| № | Техника |
|---|
