Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1564 , T1564.001 , T1564.002 , T1564.003 , T1564.004 , T1564.005 , T1564.006 , T1564.007 , T1564.008 , T1564.009 , T1564.010 , T1564.011 , T1564.012
Злоумышленники могут использовать атрибуты файлов NTFS для сокрытия своих вредоносных данных, чтобы избежать обнаружения. Каждый раздел с файловой системой новой технологии (NTFS) содержит главную файловую таблицу (MFT), в которой хранятся записи для каждого файла/каталога на разделе. (Цитата: SpectorOps Host-Based Jul 2017) Внутри записей MFT находятся атрибуты файлов, (Цитата: Microsoft NTFS File Attributes Aug 2010) такие как Extended Attributes (EA) и Data [известные как Alternate Data Streams (ADSs), когда присутствует более одного атрибута Data], которые могут использоваться для хранения произвольных данных (и даже полных файлов).(Цитата: SpectorOps Host-Based Jul 2017) (Цитата: Microsoft File Streams) (Цитата: MalwareBytes ADS July 2015) (Цитата: Microsoft ADS Mar 2014)
Злоумышленники могут хранить вредоносные данные или двоичные файлы в метаданных атрибутов файлов, а не непосредственно в файлах. Это может быть сделано для того, чтобы обойти некоторые средства защиты, такие как инструменты сканирования статических индикаторов и антивирусы.(Цитата: Journey into IR ZeroAccess NTFS EA) (Цитата: MalwareBytes ADS July 2015)
https://attack.mitre.org/techniques/T1564/004
Визуализация смежных техник для T1564.004
| № | Техника |
|---|
