Техники: T1553 , T1553.001 , T1553.002 , T1553.003 , T1553.004 , T1553.005 , T1553.006
Злоумышленники могут использовать определенные форматы файлов для обхода средств контроля Mark-of-the-Web (MOTW). В Windows, когда файлы загружаются из Интернета, они помечаются скрытым альтернативным потоком данных NTFS (ADS) под названием Zone.Identifier с определенным значением, известным как MOTW.(Цитата: Microsoft Zone.Identifier 2020) Файлы, помеченные MOTW, защищены и не могут выполнять определенные действия. Например, начиная с MS Office 10, если файл MS Office имеет MOTW, он будет открываться в режиме защищенного просмотра. Исполняемые файлы, помеченные MOTW, будут обрабатываться программой Windows Defender SmartScreen, которая сравнивает файлы со списком разрешенных известных исполняемых файлов.Если файл не является известным/доверенным, SmartScreen предотвратит его выполнение и предупредит пользователя о недопустимости его запуска.(Цитата: Beek Use of VHD Dec 2020)(Цитата: Outflank MotW 2020)(Цитата: Intezer Russian APT Dec 2020)
Злоумышленники могут использовать контейнерные файлы, такие как сжатые/архивные (.arj, .gzip) и/или форматы образов дисков (.iso, .vhd) для доставки вредоносной полезной нагрузки, которая может быть не помечена MOTW. Файлы-контейнеры, загруженные из Интернета, будут помечены MOTW, но файлы внутри них могут не унаследовать MOTW после извлечения и/или монтирования файлов-контейнеров. MOTW - это функция NTFS, а многие файлы-контейнеры не поддерживают альтернативные потоки данных NTFS.После извлечения и/или монтирования файла-контейнера содержащиеся в нем файлы могут рассматриваться как локальные файлы на диске и запускаться без защиты.(Цитата: Beek Use of VHD Dec 2020)(Цитата: Outflank MotW 2020)
https://attack.mitre.org/techniques/T1553/005
Визуализация смежных техник для T1553.005
| № | Техника |
|---|
