Техники: T1564 , T1564.001 , T1564.002 , T1564.003 , T1564.004 , T1564.005 , T1564.006 , T1564.007 , T1564.008 , T1564.009 , T1564.010 , T1564.011 , T1564.012
Злоумышленники могут пытаться скрыть свои файловые артефакты, записывая их в определенные папки или имена файлов, исключенные из антивирусного (AV) сканирования и других защитных возможностей. Антивирусные и другие файловые сканеры часто включают исключения для оптимизации производительности, а также для облегчения установки и легитимного использования приложений.Эти исключения могут быть контекстными (например, сканирование запускается только в ответ на определенные события/оповещения), но также часто представляют собой жестко закодированные строки, ссылающиеся на определенные папки и/или файлы, которые считаются надежными и легитимными.(Цитата: Microsoft File Folder Exclusions)
Злоумышленники могут злоупотреблять этими исключениями, чтобы скрыть свои файловые артефакты. Например, вместо того чтобы изменять настройки инструментов для добавления нового исключения (например, Disable or Modify Tools), злоумышленники могут поместить свою файловую полезную нагрузку в стандартные или другие известные исключения.Злоумышленники также могут использовать Security Software Discovery и другие действия Discovery/Reconnaissance для обнаружения и проверки существующих исключений в среде жертвы.
https://attack.mitre.org/techniques/T1564/012
Визуализация смежных техник для T1564.012
| № | Техника |
|---|
