Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1564 , T1564.001 , T1564.002 , T1564.003 , T1564.004 , T1564.005 , T1564.006 , T1564.007 , T1564.008 , T1564.009 , T1564.010 , T1564.011 , T1564.012
Злоумышленники могут использовать развилки ресурсов для скрытия вредоносного кода или исполняемых файлов, чтобы избежать обнаружения и обойти приложения безопасности. Вилка ресурсов предоставляет приложениям структурированный способ хранения ресурсов, таких как миниатюрные изображения, определения меню, значки, диалоговые окна и код.(Цитата: macOS Hierarchical File System Overview) Использование вилки ресурсов можно определить при отображении расширенных атрибутов файла с помощью команд ls -l@ или xattr -l. Вилки ресурсов были упразднены и заменены структурой пучков приложений.Нелокализованные ресурсы размещаются в каталоге верхнего уровня пакета приложения, а локализованные - в папке /Resources.(Цитата: Resource and Data Forks)(Цитата: ELC Extended Attributes)
Злоумышленники могут использовать развилки ресурсов для сокрытия вредоносных данных, которые в противном случае могут храниться непосредственно в файлах. Злоумышленники могут выполнять содержимое с прикрепленной вилкой ресурса с заданным смещением, которое затем перемещается в исполняемое место и вызывается.Содержимое ресурсной вилки также может быть обфусцировано/зашифровано до момента выполнения.(Цит. по: sentinellabs resource named fork 2020)(Цит. по: tau bundlore erika noerenberg 2020)
https://attack.mitre.org/techniques/T1564/009
Визуализация смежных техник для T1564.009
| № | Техника |
|---|
