Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1564 , T1564.001 , T1564.002 , T1564.003 , T1564.004 , T1564.005 , T1564.006 , T1564.007 , T1564.008 , T1564.009 , T1564.010 , T1564.011 , T1564.012
Злоумышленники могут выполнять вредоносные операции с использованием виртуального экземпляра, чтобы избежать обнаружения. Существует множество технологий виртуализации, позволяющих эмулировать компьютер или вычислительную среду. Запуская вредоносный код внутри виртуального экземпляра, злоумышленники могут скрыть артефакты, связанные с их поведением, от средств безопасности, которые не могут отслеживать активность внутри виртуального экземпляра.Кроме того, в зависимости от реализации виртуальной сети (например, мостовой адаптер), сетевой трафик, генерируемый виртуальным экземпляром, сложно отследить до взломанного хоста, поскольку IP-адрес и имя хоста могут не совпадать с известными значениями.(цит. по: SingHealth Breach Jan 2019)
Злоумышленники могут использовать встроенную поддержку виртуализации (например, Hyper-V) или загружать необходимые файлы для запуска виртуального экземпляра (например, исполняемые файлы VirtualBox).После запуска виртуального экземпляра злоумышленники могут создать общую папку между гостем и хостом с правами, позволяющими виртуальному экземпляру взаимодействовать с файловой системой хоста.(Цит. по: Sophos Ragnar May 2020)
https://attack.mitre.org/techniques/T1564/006
Визуализация смежных техник для T1564.006
| № | Техника |
|---|
