Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут создавать или модифицировать ярлыки, которые могут выполнять программу во время загрузки системы или входа пользователя в систему. Ярлыки или символические ссылки используются для ссылки на другие файлы или программы, которые будут открыты или выполнены, когда ярлык будет щелкнут или запущен процессом запуска системы.
Злоумышленники могут использовать ярлыки в папке запуска для выполнения своих инструментов и достижения стойкости.(Цитата: Shortcut for Persistence ) Хотя они часто используются в качестве полезной нагрузки в цепочке заражения (например, Spearphishing Attachment), злоумышленники могут также создать новый ярлык в качестве средства непрямого доступа, а также использовать Masquerading, чтобы вредоносный ярлык выглядел как легитимная программа. Злоумышленники также могут изменить целевой путь или полностью заменить существующий ярлык, чтобы их вредоносная программа была выполнена вместо предполагаемой легитимной программы.
Ярлыками можно злоупотреблять и для обеспечения устойчивости, применяя другие методы.Например, расширения браузера LNK могут быть модифицированы (например, Browser Extensions) для постоянного запуска вредоносного ПО.
https://attack.mitre.org/techniques/T1547/009
Визуализация смежных техник для T1547.009
| № | Техника |
|---|
