Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1564.001 - Скрытые файлы и каталоги

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1564 , T1564.001 , T1564.002 , T1564.003 , T1564.004 , T1564.005 , T1564.006 , T1564.007 , T1564.008 , T1564.009 , T1564.010 , T1564.011 , T1564.012

Злоумышленники могут устанавливать файлы и каталоги в скрытое состояние, чтобы обойти механизмы обнаружения. Для того чтобы обычные пользователи не могли случайно изменить специальные файлы в системе, в большинстве операционных систем существует понятие "скрытый" файл. Эти файлы не отображаются при просмотре файловой системы с помощью графического интерфейса или при использовании обычных команд в командной строке. Пользователи должны явно попросить показать скрытые файлы либо с помощью ряда подсказок графического интерфейса пользователя (GUI), либо с помощью переключателей командной строки (dir /a для Windows и ls -a для Linux и macOS).

В Linux и Mac пользователи могут пометить определенные файлы как скрытые, просто поставив "." в качестве первого символа в имени файла или папкицитата: Троян Sofacy Komplex) (цитата: Старинное вредоносное ПО для Mac). Файлы и папки, начинающиеся с точки, '.', по умолчанию скрыты от просмотра в приложении Finder и стандартных утилитах командной строки, таких как "ls". Пользователям необходимо специально изменить настройки, чтобы эти файлы можно было просматривать.

Файлы на macOS также можно пометить флагом UF_HIDDEN, который не позволяет увидеть их в Finder.app, но позволяет увидеть их в Terminal.app (цит. по: WireLurker). В Windows пользователи могут помечать определенные файлы как скрытые с помощью бинарного файла attrib.exe. Многие приложения создают эти скрытые файлы и папки для хранения информации, чтобы она не загромождала рабочее пространство пользователя. Например, утилиты SSH создают скрытую папку .ssh, содержащую известные хосты и ключи пользователя.

Злоумышленники могут использовать это в своих интересах, скрывая файлы и папки в любом месте системы и уклоняясь от обычного пользовательского или системного анализа, который не включает в себя исследование скрытых файлов.

https://attack.mitre.org/techniques/T1564/001

← Назад

Визуализация смежных техник для T1564.001

Отрасль:
 с подтехниками
Техника

Закрыть