T1027: Обфусцированные файлы или данные
Злоумышленники могут попытаться осложнить обнаружение или анализ исполняемого или обычного файла путем шифрования, кодирования или обфускации его содержимого в системе или при передаче. Это типичная техника, которая может использоваться на разных платформах и в сети для обхода защитных систем.
Полезная нагрузка может быть сжата, заархивирована или зашифрована, чтобы предотвратить ее обнаружение. Такие полезные нагрузки могут быть использованы при первоначальном доступе или позже, чтобы воспрепятствовать обнаружению. Иногда для открытия и деобфускации или декодирования файлов или данных могут потребоваться действия пользователя (техника Выполнение с участием пользователя). В частности, пользователю может быть предложено ввести пароль, чтобы открыть защищенный паролем сжатый или зашифрованный файл, доставленный злоумышленником . Злоумышленники также могут использовать сжатые или заархивированные сценарии, например JavaScript.
Также могут кодироваться части файлов, чтобы скрыть строки в открытом текстовом виде, которые в противном случае помогли бы специалистам по безопасности обнаружить угрозу . Полезная нагрузка также может быть разделена на отдельные мнимо безопасные файлы и приобретать вредоносную функциональность только при объединении этих файлов .
Злоумышленники также могут использовать обфускацию команд для скрытия команд, выполняемых из полезной нагрузки или непосредственно через интерпретатор командной строки и сценариев. Переменные окружения, псевдонимы, символы и другие семантические особенности платформы или языка могут использоваться для обхода обнаружения по сигнатурам и механизмов контроля приложений .
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD способен при помощи правил обнаруживать популярные упаковщики исполняемых файлов (например, UPX). Однако упаковщики могут использоваться и в легитимных целях, например для уменьшения размера исполняемого файла. По этой причине правила для обнаружения упаковщиков, как правило, выключены по умолчанию. Кроме того, в наборе PTsecurity существует множество правил на зашифрованные или обфусцированные поля запросов хакерских инструментов или вредоносного ПО.
Пример правил обнаружения PT NAD
- ET MALWARE UPX compressed file download possible malware (sid 2001046)
- SPYWARE [PTsecurity] Buhtrap (sid 10003304)
- SHELL [PTsecurity] Meterpreter (sid 11003135)
Способы обнаружения
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте загрузку модулей, особенно тех, которые явно не указаны в таблицах импорта, — это может быть признаком обфускации вызовов функций API. В ходе динамического анализа вредоносного ПО можно выявить признаки обфускации функций, например чтение памяти, соответствующей адресам функций API внутри модулей. |
---|
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте индикаторы обфускации и подозрительный синтаксис команд в выполняемых сценариях, например необработанные управляющие символы (такие как Также отслеживайте индикаторы обфускации, специфичные для синтаксиса команд сценариев, например нечитаемые или закодированные последовательности символов. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте недавно созданные процессы и (или) командные строки, которые ищут ненативные бинарные файлы, кроссплатформенные компиляторы и среды выполнения, такие как Mono, и проверяйте их легитимность. Легитимные сценарии их использования ограничены, например они могут использоваться в процессе разработки ПО. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте и анализируйте вызовы таких функций, как |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения данных о работе распространенных компиляторов, таких как csc.exe и GCC/MinGW, и сопоставляйте их с другими подозрительными действиями, чтобы снизить количество ложных срабатываний, связанных с обычным поведением пользователей и администраторов. |
---|
ID | DS0005 | Источник и компонент данных | Инструментарий управления Windows (WMI): Создание WMI | Описание | Отслеживайте создание объектов WMI и значений, которые могут указывать на хранение вредоносных данных, таких как команды или полезные нагрузки. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Отслеживайте создание в реестре значений, которые могут указывать на хранение вредоносных данных, таких как команды или полезные нагрузки. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы JavaScript. Подобрать правила для разных типов файлов с различными схемами кодирования и (или) шифрования может быть очень сложно. По возможности отслеживайте файлы, загруженные из интернета (возможно, посредством внедрения данных в HTML), и анализируйте их на предмет подозрительной активности. Рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Обнаружить полезную нагрузку с удаленной значащей информацией может быть непросто, и этим не стоит заниматься в режиме реального времени, но попытки обфускации можно выявить с помощью анализа контекстных данных, связанных с файлами (например, их содержимого и энтропии символов). |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | По возможности периодически проверяйте типичные места бесфайлового хранения (такие как реестр или репозиторий WMI) для потенциального выявления ненормальных и вредоносных данных. |
---|
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | В Windows 10+ включите правила Attack Surface Reduction (ASR), чтобы предотвратить выполнение потенциально обфусцированных полезных нагрузок . |
---|
ID | M1017 | Название | Обучение пользователей | Описание | Проследите, чтобы количество точек входа в систему развертывания программного обеспечения было ограничено: доступ должен быть только у тех, кто активирует новое программное обеспечение и дает права на его использование. |
---|
ID | M1049 | Название | Антивирус или ПО для защиты от вредоносных программ | Описание | Используйте эвристические методы обнаружения вредоносных программ. Обеспечьте обновление определений вирусов и создайте собственные сигнатуры для обнаруженных вредоносных программ. |
---|