Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1564 , T1564.001 , T1564.002 , T1564.003 , T1564.004 , T1564.005 , T1564.006 , T1564.007 , T1564.008 , T1564.009 , T1564.010 , T1564.011 , T1564.012
Злоумышленники могут использовать скрытые окна для сокрытия вредоносной деятельности от глаз пользователей. В некоторых случаях окна, которые обычно отображаются при выполнении приложения, могут быть скрыты. Это может использоваться системными администраторами, чтобы не нарушать рабочее окружение пользователей при выполнении административных задач.
Злоумышленники могут злоупотреблять этими функциями, скрывая от пользователей видимые в противном случае окна, чтобы не предупредить пользователя об активности Злоумышленника в системе.(Цит. по: Antiquated Mac Malware)
В macOS конфигурации запуска приложений перечислены в файлах списка свойств (plist). Одним из тегов в этих файлах может быть apple.awt.UIElement, который позволяет Java-приложениям предотвратить появление значка приложения в Dock. Это часто используется, когда приложения запускаются в системном трее, но не хотят отображаться в Dock.
Аналогично, в Windows существует множество функций в языках сценариев, таких как PowerShell, Jscript и Visual Basic, позволяющих сделать окна скрытыми.Одним из примеров является powershell.exe -WindowStyle Hidden.(Цит. по: PowerShell About 2019)
Кроме того, Windows поддерживает API `CreateDesktop()`, который может создать окно скрытого рабочего стола с собственным соответствующим процессом explorer.exe процессом.(Цитата: Hidden VNC)(Цитата: Anatomy of an hVNC Attack) Все приложения, запущенные в окне скрытого рабочего стола, такие как скрытая сессия VNC (hVNC), будут невидимы для других окон рабочего стола.
https://attack.mitre.org/techniques/T1564/003
Визуализация смежных техник для T1564.003
| № | Техника |
|---|
